Методы защиты папок Apache против файлов cookie и запросов к базе данных для защиты содержимого веб-сайта и управления правами доступа. Какой лучше?

Question

Я смотрю на ПО для управления пользователями / подписками, такое как aMember Pro. При этом используются методы защиты папок для предотвращения доступа к областям сайта. Как таковые сценарии PHP требуют Apache (linux / unix).

Мой веб-сервер - IIS Windows 2003, и я использую базу данных MySQL для хранения идентификатора пользователя и статуса подписки / привилегий доступа. У нас действительно есть только 2 типа, бесплатные / платные. Когда пользователь входит в систему, я сохраняю его идентификатор пользователя в файле cookie сеанса и использую его для проверки статуса подписки на каждой странице и определения того, что он может просматривать на этой странице (только несколько страниц находятся в одной папке веб сервер).

Каковы плюсы / минусы каждого метода? Является ли мой файл cookie и метод базы данных подходящим и безопасным? Я не хочу переходить на Linux, если мне это не нужно, и все другие аспекты программного обеспечения aMember работают нормально на Windows.

Требуется ли защита папки только в том случае, если сайт не использует базу данных для хранения идентификатора пользователя. У нас были все права доступа, до того как мы установили программное обеспечение для управления подпиской, поэтому я догадываюсь, что нам не нужно использовать защиту папок, но я очень хочу узнать мнение других.

спасибо

Answer 1

Итак, аутентификация, о которой вы говорите, выглядит как обычная HTTP-аутентификация в Apache, которая требует, чтобы пользователь проходил аутентификацию при каждом запросе. Из Apache Doc

Клиентский браузер кэширует имя пользователя и пароль, который вы указали, и хранит его вместе с область аутентификации, так что если другие ресурсы запрашиваются из того же царство, то же имя пользователя и пароль могут быть возвращены, чтобы подтвердить, что запрос, не требуя от пользователя введите их снова.

Таким образом, ваш подход на основе сеансов немного отличается от защиты папок, потому что это долгосрочный сеанс, который длится дольше одного запроса и управляется PHP, а не веб-сервером.

Подход к сеансу на стороне сервера довольно распространен практически на любой странице, для которой требуется аутентификация пользователя и достаточно безопасная для работы (даже если она имеет свои уязвимости). В любом случае, если вы беспокоитесь о безопасности, вы должны убедиться, что аутентификация (которая обычно передает простой пароль) выполняется через безопасное (SSL) соединение.

Answer 2

Вам не нужно переключаться на Linux; Apache будет нормально работать на Windows. Если вы хотите придерживаться IIS, вы можете включить PHP с FastCGI .