Что мне подходит: htAccess, отправка формы, аутентификация заголовка HTTP с PHP?

Question

Я создаю веб-сайт с несколькими разделами - admin, client, user и anonymous - каждая группа пользователей имеет меньший доступ, чем следующая.Мне интересно, какая форма аутентификации лучше всего подходит для моего использования?

Я слышал, что если вы просто имеете дело с веб-сайтами, тогда веб-форма для вас (потому что она красивее).Говорят, что аутентификация заголовка HTTP с помощью PHP становится неуклюжей / небрежной.htAcess - это в значительной степени ядро ​​различных методов аутентификации, которые я посмотрел, но слишком ли это много?

Answer 1

Вы путаете вещи.

Ваши три варианта в основном два:

• Использовать HTTP-аутентификацию
• Не использовать HTTP-аутентификацию

Другое дело, обрабатывается ли он файлом .htaccess или нет.Вы можете выполнить HTTP-аутентификацию с Apache и PHP, и вы можете сделать не HTTP-аутентификацию с Apache и PHP (хотя обычно вы выполняете не HTTP-аутентификацию с PHP и HTTP-аутентификацию с Apache).

Apache может отложитьаутентификация для нескольких внутренних и внешних модулей (например, вы можете использовать CAS).Apache предоставляет готовые (без устаревшего модуля sourceforge ...) следующие серверные базы данных: FreeTDS, MySQL, Oracle, PostgreSQL, SQLite 2/3 и соединитель ODBC.

Лично яне нравится HTTP-аутентификация.Обычно форма будет более удобной для пользователя, и вы можете предоставить ссылки, такие как «Забыли пароль?»и «Имя пользователя не найдено».

Я также хотел бы реализовать аутентификацию в PHP, поскольку она более переносима (вы можете поменять местами веб-сервер).

Answer 2

Перейти к форме ( сеанс действительно).
В настоящее время это единственный вариант.

Answer 3

Прежде всего, для вашего приложения вы должны использовать более простой метод входа в систему / метод сеанса.Поскольку вам нужны группы пользователей внутри приложения, имеет смысл использовать также аутентификацию внутри приложения.Технически для системы разрешений не имеет значения, какой метод аутентификации используется.Но вы знаете, для простоты и сохранения всех средств авторизации ...

Ненависть к HTTP-аутентификации ошибочна, кстати.Это более сильный метод аутентификации, если вы используете HTTP Digest;что OTH трудно реализовать в PHP.
Это кошмар юзабилити, только если вы сделаете это неправильно.Практически HTTP-вход также может быть инициирован с помощью формы входа.Использование XMLHttpRequest может успешно запустить HTTP-аутентификацию.И с немного большей работой (401 и новое царство), также возможны симпатичные выходы из системы.Если Javascript не включен, он явно возвращается к скучному диалогу входа в систему / readline.Но я некоторое время лично пользовался текстовым браузером, и мне это нравилось больше.

Кроме того, если ваша группа администраторов - серьезный бизнес (инструменты доступа к базам данных и т. Д.), Вы должны подать заявкуоба метода.Сделайте интерфейс администратора отдельным от приложения, примените форму входа и ограничения .htaccess.Лучше безопасно, чем потом сожалеть.