Простая аутентификация, которая использует zend_auth независимо от остальной части Zend Framework

Question

Я работаю над системой входа в систему для php-приложения. Я знаю об опасностях развертывания вашей собственной системы, поэтому я надеюсь использовать какую-то предварительно созданную библиотеку.

Я видел zend_auth, рекомендованный в нескольких местах. Я также слышал, что Zend_auth может использоваться независимо от остальной части Zend Framework. Это было бы предпочтительнее, так как мое приложение не полагается на какие-либо фреймворки, и я не хочу устанавливать весь фреймворк исключительно для аутентификации.

У меня нет предыдущего опыта работы с Zend, и я нахожу документацию в руководстве немного запутанной. Мне интересно: кто-нибудь знает о каких-либо ресурсах, которые могли бы помочь объяснить, как настроить простую систему аутентификации на основе zend_auth, но которая не зависит от остальной части Zend Framework?

Спасибо за вашу помощь,

Answer 1

Я знаю об опасностях, связанных с развертыванием вашей собственной системы

...

Я нахожу документацию в руководстве немного запутанной

Тогда это не правильное решение именно по тем причинам, которые вы указали.Если вы не понимаете, как правильно его использовать, он никогда не будет безопасным, и вы не сможете предоставить гарантию того, что он подходит по назначению.

Вы можете подумать о том, чтобы заплатить Zend за контакт в службу поддержки и обратиться за помощью..

Существуют и другие проблемы с использованием готового кода.Если в нем есть дефект, его трудно идентифицировать, трудно устранить, то сложно объединить исправления поставщиков.Кроме того, хотя на самом деле это действительно аргумент в пользу безопасности из-за неясности (и, следовательно, недостаточно обоснованного), код, который вы пишете, не виден ни одному потенциальному злоумышленнику, пока вы не опубликуете его (если вообще когда-либо), в то время как используется готовый продуктВ качестве источника, если существует уязвимость, любой сценарий может атаковать ваш сайт.

C.

Answer 2

Самая важная вещь для безопасной аутентификации / авторизации - это концепция, в которой у всего приложения есть только точка входа sinlge, такая как index.php, в которую все переписывается.в противном случае вам нужно позаботиться о том, чтобы каждый файл вызывался, чтобы правильно включать и проверять авторизацию и т. д.

zend_auth сам по себе не даст вам дополнительной безопасности.это больше похоже на интерфейс, который можно подключить к чему угодно.так что в основном ваши приложения всегда используют один и тот же код для аутентификации / авторизации, но могут полагаться на разные данные.