關於後台登入步驟的流程:
1. 後台登入控制器:registercontroller
1. getimagevalidate()方法說明:
登入頁面,載入驗證碼(防止暴力破解)的時候,需要乙個key在伺服器端儲存驗證碼生成的數字值,這個時候在smart1controller控制器中,使用了accesskeyfirst屬性(從請求登入頁面的鏈結中獲取access-token,如果沒有則guid重新生成),同時將獲取的這個access-token值,設定為cookie資訊儲存到瀏覽器端;
2. smartcontroller控制器說明:
所有的控制器都將繼承smartcontroller控制器;這個控制器的主要功能是對所有的控制器進行抽象方法:對所有的控制器新增表頭屬性 [authorization] ,
[authorization] f12進入這個類:
功能主要是:1.使用者請求控制器的方法之前先檢查伺服器端的membercache中是否儲存了使用者的資訊(使用者是否已經登 錄),登入驗證;
2. 使用者登入了,使用者請求某些方法是否有許可權的驗證;
3. 對沒有設定許可權的方法,做直接通過驗證的處理;
4. 如果使用者沒有登入,沒有許可權分別做不同的返回狀態值處理返回;
3. login(loginbase login)方法說明:
完成驗證碼的驗證:
1.accesskey屬性說明:(獲取剛才伺服器給瀏覽器中設定到cookie物件中的acces-token值),這個屬性 只有獲取方法,沒有設定方法,目的就是為了只是獲取剛才的cookie值,所以這個cookie物件的過期時 間設定的不能過期時間太短,至少乙個小時吧,如果在請求登入之前的時候,獲取的acces-token是空的 ,那麼在請求通過登入方法的驗證碼的時候,肯定是不會通過驗證的;
完成使用者資訊的認證,如果使用者的資訊驗證通過,則在membercache中,設定使用者的快取時間,和快取鍵,getkey()方 法設定快取key;並返回使用者的登入資訊;
4. loginoff() 方法說明:
退出頁面,清除伺服器中membercache中的快取資訊;並將瀏覽器端的cookie資訊清除;
關於安全登入流程的設計
用到的名詞解釋 ouid 為生成s2存在,md5 uid s0 pwd 就是使用者的密碼 s1 md5 s0 s2 md5 s1,ouid db中儲存的密碼 tg1 客戶端生成的動態秘鑰 客戶端自定義?tg2 客戶端首次提交給伺服器含有tg1的串,tg2 tea s2,tg3 服務端根據 passw...
後台登入認證
所有資料的傳輸過程應當保證安全,保證資料不會在傳輸過程中洩露或劫持 實質是資料傳輸的安全,防止資訊洩露。這對這種情況,目前最好的方法就是使用https,而不是使用http 應當有一種機制來校驗請求發起人是否是之前登陸的使用者 在web開發中經常遇到的安全問題 跨站請求偽造 csrf xsrf 即攻擊...
DedeCms後台登入空白
天在dede後台登陸時出現了問題,導致後台變成空白,再回頭登陸時,登陸頁面也是一片空白,檢視源 也是一片空白,在網上找了些資料,參考肖老師總結資料解決了dede後台登入變成一片空白的問題 找到 include common.inc.php檔案,開啟,查詢程式 error reporting e al...