Позвольте мне перефразировать мой последний вопрос, какую библиотеку или фрейм PHP можно использовать для профессиональной и безопасной проверки подлинности? Дополнительные баллы, если ваша идея помогает реализовать функции панели управления учетной записью (сменить пароль, изменить профиль).
Как вы это понимаете? Вы когда-нибудь делали надежную аутентификацию с помощью PHP?
Мне лично очень нравится структура symfony и плагин sfGuard. Он обеспечивает очень легкую настройку аутентификации. Он хэширует и солит все пароли и предоставляет интерфейс для управления пользователями, группами и разрешениями.
Маршрутизация и конфигурация Symfonys позволяет очень просто установить безопасный флаг на каждой странице или даже «области» вашего веб-сайта. Мне не нужно было искать в другом месте при создании безопасного веб-сайта.
Расширенная библиотека проверки подлинности, которую я разработал, – ulogin.sourceforge.net. Он имеет поддержку для множителей, различных методов предотвращения грубой силы, а также обеспечивает защиту ваших сеансов от угона / фиксации / воспроизведения. Он также поддерживает несколько пользовательских баз данных, таких как sql / ldap и т. Д. Если вы не используете фреймворк PHP, такой как Cake / CI, я честно рекомендую его.
Вы проверили Drupal ? Он обеспечивает аутентификацию через ssl и не сохраняет пароли как открытый текст в базе данных. И это «Панель управления» функции довольно хороши.
ESAPI имеет общую структуру, которую вы можете использовать, потребуется немного переустановки, но она прочная для того, что вы ищете. И, конечно же, аутентифицируйтесь по SSL, не храните auth информацию на клиенте и т. Д.