comment la connexion fonctionne?
Bien, vous tapez le nom d'utilisateur et le mot de passe dans le formulaire, cliquez sur "OK". Ensuite, les données côté serveur et vérifiez les utilisateurs de la base de données si l'utilisateur existe. Puis il le retour de l'id d'utilisateur. Et quelle est la prochaine étape?
Que les données sont enregistrées dans les cookies?
Signifie-t-il, que chaque lien cliqué, site connectez vous au site web de nouveau?
Je veux dire,
- vous cliquez sur un lien sur le site
- navigateur vous rediriger vers la page
- vérifications de site vos cookies
- site saisir nom d'utilisateur et le mot de passe de cookies
- site vérifie que les données sont valides (par l'intermédiaire de la connexion à la base de données)
- afficher la page pour vous
Est-ce exact?
Pas tous de la page web et/ou le serveur web fonctionne de la même manière, il est impossible de répondre à votre question sans connaître ce site dont vous parlez.
OriginalL'auteur nukl | 2011-02-10
Vous devez vous connecter pour publier un commentaire.
Tadaa!! 🙂
Mise à JOUR
Pour ajouter un peu plus...
Vous n'avez pas besoin de stocker le mot de passe utilisateur dans la session. En fait, il est fortement déconseillé. Vérification pour vous assurer que l'utilisateur de l'objet existe dans la session est suffisant.
Lorsque l'utilisateur clique sur la page de déconnexion, puis passez à invalider la session... c'est tout. 🙂
La session doit contenir l'objet utilisateur (nom d'utilisateur, le premier namel mât nom, toutes les informations pertinentes dont vous avez besoin). De cette façon, lorsque vous avez besoin pour personnaliser votre site web, vous pouvez afficher "Bonjour Mike", en tirant le premier nom de la session. Mettre des informations de l'utilisateur dans la session la plus simple, vous n'avez pas besoin de vous soucier de l'utilisateur de désactiver les cookies. De plus, si vous utilisez de la session, lorsque l'utilisateur ferme le navigateur, il va tuer automatiquement la session, alors que, si vous utilisez des cookies, vous avez probablement besoin d'effectuer d'autres vérifications.
OriginalL'auteur limc
Presque correct. Vous pouvez rarement aller à la base de données à chaque requête. Vous avez l'habitude de définir un cookie avec une date d'expiration et enregistrer la session de l'utilisateur et des informations dans la mémoire. Alors à chaque fois qu'une demande est faite, si l'utilisateur n'est pas authentifié, vous authentifier lui, de produire et de lui envoyer un cookie avec, disons, 5h d'expiration. Ainsi, dans les 5 prochaines heures, lorsqu'une requête arrive avec ce cookie, vous avez confiance que l'utilisateur est authentifié, l'utilisateur valide et vous n'avez pas à vérifier la base de données.
Ce n'est pas la façon dont chaque site-t-il ni c'est la seule façon de gérer la session et les cookies, mais je pense qu'il est le plus largement utilisé.
Pourquoi auriez-vous besoin de mot de passe entre les demandes? Vous ne devez stocker les informations dont vous avez besoin à propos de l'utilisateur pour afficher les pages. Habituellement, c'est le nom d'utilisateur, id utilisateur, certaines informations de son profil, etc... à Moins d'utiliser la communication ssl, vous ne pouvez jamais faire confiance à 100% que les données sont correctes. Quelqu'un peut "sentir" la connexion et de voler le cookie d'utilisateur (qui est connu comme le détournement de session). Si elle vous fait vous sentir plus en sécurité, même facebook voyages non chiffrés cookies.
OriginalL'auteur Piva
Vous devriez probablement utiliser les sessions, mais c'est à peu près l'essentiel. De cette façon, les données n'est pas accidentellement persistent.
Je veux dire, pour mon site simple à la maison, c'est comment je le fais. Mais c'est toujours hébergé localement, de sorte que la sécurité est garanti d'être de la merde.
Oh, et pas besoin de vérifier avec la base de données chaque fois que vous cliquez sur un autre lien -- trop de temps perdu.
Les Cookies peuvent être falsifiés. Ce problème peut être surmonté, mais cela nécessite plus de travail.
OriginalL'auteur ryebr3ad
Typiquement, une application tire parti de la session, qui est établie entre le navigateur et le serveur web, et fait une note que cette session est "authentifié". "session" est un construit en fonction de l'adresse HTTP. Si le navigateur est fermé, ou après une certaine période de temps qui passe, la session se ferme automatiquement. Si l'utilisateur n'explicite de déconnexion, de l'application des marques de la session en tant que non-authentifié.
OriginalL'auteur Elroy Flynn