PHP Lang
  1. PHP Lang
  3. Могу ли я безопасно хранить имя пользователя и пароль в переменных сеанса PHP?
Intereting Posts
Symfony 3.0.1 токен CSRF присутствует, но недействителен Как отлаживать приложение PHP с помощью Eclipse PDT (отладчик xdebug и zend) Загрузка Force из файла php Почему xdebug не устанавливает соединение с NetBeans? Обратный массив в php Использование if-else в массиве Получение запроса на перекрестный запрос исходного кода при использовании .getJSON для получения сведений о приложении Play Store SQL-запрос для выбора сообщений, относящихся к нескольким категориям PHP ajax-вызов, не отображающий ie7 или 8 Regex для обнаружения одного и того же символа более пяти раз? Yii zii.widgets.CDetailView – вывести атрибут как формат HTML-кода url закодированные косые черты, нарушающие мое приложение codeigniter Как заменить узел XML на SimpleXMLElement PHP Regex / DOMDocument – сопоставление и замена текста не в ссылке Потерянное соединение с сервером MySQL, системная ошибка: 111

Могу ли я безопасно хранить имя пользователя и пароль в переменных сеанса PHP?

Я хочу сделать легкий webapp поверх REST api, где пользователь должен пройти аутентификацию только один раз, с этого момента все запросы против веб-api, мы надеемся, будут выполнены, сохранив в некотором роде имя пользователя и пароль.

Я уже создал рабочий прототип, в котором храню имя пользователя и пароль в переменных сеанса, если первый запрос к REST api успешный, и с этого момента каждый запрос создается с информацией об аутентификации, полученной из переменных сеанса. Все идет нормально.

При таком подходе я понимаю, что кто-то с доступом к серверу сможет прочитать пароль. Есть ли какой-то способ в PHP, чтобы я мог следовать моему подходу с достаточной степенью безопасности?

Обновите дополнительную информацию:

Цель состоит в том, чтобы сделать визуализацию данных, полученных из API, на основе запросов к ним с разными данными, но не для того, чтобы пользователь вводил свое имя пользователя и пароль для каждой попытки. Таким образом, API полностью без гражданства, но веб-приложение с gui должно быть statefull.

В этом случае я не контролирую API Rest, поэтому каждый запрос к нему всегда потребует отправки имени пользователя и пароля API с помощью базового auth, нет альтернативных схем, таких как ключ API, токен сеанса или что-то в этом роде. Вот почему я должен сохранить имя пользователя и пароль до тех пор, пока длится сеанс пользователя, и я хотел знать, можно ли считать, что подход с сохранением их в переменных сеанса можно считать безопасным.

Solutions Collecting From Web of "Могу ли я безопасно хранить имя пользователя и пароль в переменных сеанса PHP?"

Пока вы не сохраняете состояние сеанса на сервере REST API, только на вашем веб-сервере clientapp, это кажется прекрасным с архитектурной точки зрения.

Если вы действительно должны использовать имя пользователя и пароль и не можете получить одноразовый токен, вы можете зашифровать их с помощью серверного ключа и дешифровать «на лету», когда вы отправляете их в API, поэтому даже если кто-то может захватить в сеансе они не могут получить имя пользователя и пароль без ключа на стороне сервера, но вы должны быть намного осторожнее с утечкой своего php-сессии в любом случае.

Безопасность сеансов PHP .

Выполните шаги, описанные в ответе на этот вопрос, за исключением того, что вы должны использовать HTTPS для всех взаимодействий, между пользователем и веб-сервером, а также между webapp и REST API.