本文介绍了作者在PHP编程中构建一个安全且不加重数据库负担的用户登录系统的过程。系统依赖cookies,通过设置两个cookie(用户名和MD5加密的无序码)实现安全性。无序码由用户名和超级密码结合MD5函数生成,用于验证和确认email变更。这种设计具有良好的扩展性,随着负载增加可添加服务器分担计算任务,将瓶颈保持在数据库层面。
在使用PHP编程的时候,我有一个习惯,不太喜欢使用现成的库文件,例如PHPLib或者其它类似的库,在这个系统中,我也打算自己写一个库文件,它需要处理认证、确认email,更新帐号(密码,email)等事情。
为 了在保证该系统安全的同时,不会加重我现有数据库的负担。因此这个新的系统要依赖cookies。这确实是一个两难的选择,因为如果只是设置一个用户名的 cookie,是很不安全的,这行不通,但从数据库的负担考虑,我也不能加入一个简单的无序码而交由我的数据库来进行验证。 php程序员站
解决的方法是同时设置两个cookie,一个是用户名的cookie,一个是无序码的cookie。这个无序码实际上是由用户名和一个超级密码 (只有程序设计者知道)组合通过md5()函数运算产生的。由于md5()是一个单向的无序码,因此是不可以破解的。在用户更改email时,我也可以用 该email和超级密码产生一个无序码,以让用户确认修改。这实际上是一个公匙/私匙类的系统。不明白?不要紧,下面再慢慢说明。
phperz.com
有趣的是,这个系统的扩展能力是可以达到无穷的,因为该系统的主要工作是计算md5()函数的值,而且由web服务器完成,在负载增加时,可以加入其它的服务器来分担负载,虽然认证系统不会拖跨一个数据库,但是这样做就让最终的瓶颈只能出现在数据库上。
www.phperz.com
以下是该库中的两个函数--记号产生和记号认证函数。
phperz.com
| 以下为引用的内容: <?php $hidden_hash_var='your_secret_password_here'; $LOGGED_IN=false; unset($LOGGED_IN); function user_isloggedin() { global $user_name,$id_hash,$hidden_hash_var,$LOGGED_IN; file://已经进行无序码的检测了吗 |
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
