我正在建立一个用户可以登录的新网站。我看到三个可能的选项:
1。经典类型login:
<form action="/login.php" method="POST">
</form>
,提交按钮转到login.php
,如果成功,验证并重定向
2。ajax类型login:
与上面相同,但做一个ajax调用,然后javascript重定向。
3。iframe登录:
同stackoverflow/openid
最安全、最好的方法是什么?
在我看来,选项1 &2应该使用post,在你的代码中,你应该确保请求是post。如果您希望应用程序超级安全,还应该添加其他会话逻辑来防止欺骗,但这对开发人员和应用程序都是优先考虑的。我发现iframe是邪恶的,许多黑客使用iframe来攻击不知情的用户帐户。Openid是一种值得信赖的登录方式,正被越来越多的人采用,facebook版的Openid也是如此。我知道他们使用iframe方法,但验证是双倍的,我相信需要HTTPS来实现这些类型的登录。
再次强调,所有这些只是我的观点,主要取决于开发人员的设计和应用程序的业务需求/要求。
希望有帮助