Вопросы сессии Laravel 5 (функциональность и безопасность)
У меня есть несколько основных вопросов о сеансах Laravel 5.6:
Я устанавливаю некоторые сеансы вручную, если пользователь вошел в систему следующим образом:
session(['ses_var' => 123]);И когда я проверяю, что пользователь вошел в систему:
if (!empty(session('ses_var')))
Я внес некоторые изменения в сессия.php, такие как: Secure, Strict и HTTP.
Я установил несколько файлов cookie как мануэль, например:
$response = новый ответ;
Cookie::queue('a_cookie', $a_cookie, time() + 21213000);
и когда я проверяю это:
if (Cookie::get('a_cookie') == "some_value")
или я отправляю его в БД напрямую, это безопасно?
Выйти:
FOREACH($_COOKIE AS $key => $value) {
SETCOOKIE($key,$value,TIME()-10000,"/");
}
Session::flush();
All cookies created by the Laravel framework are encrypted and signed with an authentication code, meaning they will be considered invalid if they have been changed by the client. https://laravel.com/docs/5.6/requests#cookies
Я прочитал этот документ, но если кто-то установит или изменит какой-либо файл cookie..?
Я немного чувствителен к безопасности. Они верны? Должен ли я использовать сеанс для критического контроля и т.д.? Что вы предлагаете?
Большое спасибо!
Это несколько сложная ситуация (у этого проекта другой SQL (MySQL & SQL и т.д.)). Поэтому я выбрал этот путь.
Вам лучше по-прежнему использовать встроенную функциональность laravel и при необходимости писать своего собственного провайдера или охранника.
Дорогой Девон, Спасибо за ваш ответ. Но я новичок в Laravel. Приведенные выше коды подходят? Можете ли вы дать мне какой-либо пример или документы, пожалуйста?
Прочтите весь laravel.com/docs/5.6/аутентификация и просмотрите раздел пользовательских охранников/пользовательских провайдеров, если он не соответствует вашим потребностям.
Спасибо Девон. Извините, но обычно официальных документов недостаточно - явно для новичков. Кто-то может привести пример или комментарий? Спасибо.
Это было моей точкой зрения. Новичку не стоит создавать собственное решение для аутентификации. Если у вас возникнут проблемы с документами, задайте конкретную проблему с более подробной информацией.
Есть ли причина, по которой вы не используете структуру аутентификации, встроенную в laravel? Если вы беспокоитесь о безопасности и не имеете опыта тех, кто создавал laravel, кажется странным пытаться реализовать собственную логику.