我在一个网站上工作,该网站使用远程网站数据库来检查身份验证(它们都共享一些数据库表,但是独立的网站…)
现在,我根据远程网站帐户/成员表检查用户名和密码,如果匹配,我会创建一个会话。
问题:
-
这安全吗?在经过身份验证的页面上,我只检查存在特定类型。有人可能创建一个空会话或绕过它的东西吗?
-
此设置是否可以使用表单身份验证?正确的现在,如果用户通过了身份验证,我只需要用用户名、电子邮件和id。
您的设计没有本质上的错误,将其与表单身份验证本身一起使用也没有问题。这一切都取决于您如何实现它。祝您好运!