私は自分の認証システムをcodeigniterでロールバックしようとしており、いくつかのロードブロッキングに遭遇しました。codeigniterでの安全な認証
データベースを使用するようにセッションが設定されている場合、データベースにはuserdataだけが格納されているか、Cookieにも格納されていますか?私は実際に正しいパスでログインしている各ページの負荷を検証するためにハッシュされたパスワードを保存したいと思います。ハッシュをクライアント側にアクセスさせたくないのです。
セッションを盗まれないようにするにはどうすればよいですか?私はIPとホスト名の検証を有効にしました。自動的なものか、自分でチェックを実行する必要がありますか?人々がセッションデータを盗まないようにするには十分でしょうか?
Userdataをセッションに格納することができます。セッションを使用してデータベースを使用する場合、唯一のCookieはci_session Cookieまたは指定したものになり、cookie + ip/hostnameはデータベースセッションテーブルに一致します。
ハッシュされたパスワードをセッション中に保存することは、自分のデータベースに完全に安全です。問題はありません。 ipまたはhostname一致使うべき盗まれる
防止セッションの自動検証がわからない、(すべてのページのロード以下、多くの場合、ほとんどのいずれかは、一部の人々は、動的IPアドレスを持っている)が、あなたは自分でチェックすると、それは常に良いことです。
セッションデータの盗みを防ぐことは、それにかなり似ています。誰かがあなたのクッキーを傍受し、偽のIPを魔法のように報告しない限り(または、IP /ホスト名をターゲットと共有する)、それで十分です。もう一度チェックをしてuser_agentと一致させることもできます。それはあなたが手動で行う必要があるでしょう。
これはほとんどすべてです。
私は検索していますが、config.phpで動作するコードを見つけることはできません –