要在PHP中安全處理身份驗(yàn)證和授權(quán)，請(qǐng)按照以下步驟：1。始終使用password_hash（）（）驗(yàn)證密碼，並使用password_verify（）驗(yàn)證，使用準(zhǔn)備好的語(yǔ)句來(lái)防止SQL注入，並在login後將用戶數(shù)據(jù)存儲(chǔ)在$ _Session中。 2。通過(guò)檢查“ Admin”或“ Editor”等會(huì)話存儲(chǔ)的角色來(lái)實(shí)現(xiàn)基於角色的訪問(wèn)控制，並適當(dāng)?shù)刂匦轮笇?dǎo)未經(jīng)授權(quán)的用戶。 3.通過(guò)使用Session_Regenerate_id（true）再生會(huì)話ID，通過(guò)設(shè)置安全的cookie標(biāo)誌來(lái)防止劫持，並通過(guò)限制登錄嘗試來(lái)防止蠻力攻擊，來(lái)防止會(huì)話固定的安全問(wèn)題。 4。考慮使用已建立的庫(kù)或框架，例如Laravel Auth，Symfony Security或Phpauth，以進(jìn)行可擴(kuò)展和安全的解決方案，而不是從頭開(kāi)始構(gòu)建。

當(dāng)您使用PHP並需要處理身份驗(yàn)證和授權(quán)時(shí)，這不僅僅是檢查某人是否已登錄，還涉及控制他們一旦可以做的事情。關(guān)鍵是要安全地實(shí)現(xiàn)這些功能，而不會(huì)使您的代碼庫(kù)過(guò)度複雜化。

1。從安全的用戶身份驗(yàn)證開(kāi)始

身份驗(yàn)證意味著驗(yàn)證用戶是誰(shuí)。在PHP中，這通常涉及對(duì)數(shù)據(jù)庫(kù)檢查其電子郵件/用戶名和密碼。

• 始終使用password_hash() hash passwords並使用password_verify()驗(yàn)證它們。切勿存儲(chǔ)純文本密碼。
• 查詢數(shù)據(jù)庫(kù)時(shí)，請(qǐng)使用已準(zhǔn)備好的語(yǔ)句（與PDO或MySQLI）避免注入SQL。
• 成功登錄後，將用戶數(shù)據(jù)存儲(chǔ)在$_SESSION中，以使其在請(qǐng)求中登錄。

例子：

如果（password_verify（$ userInputPassword，$ storedhash））{
    $ _session ['user_id'] = $ user ['id'];
    $ _SESSION ['remo'] = $ user ['real'];
}

另外，不要忘記在使用會(huì)話數(shù)據(jù)的每個(gè)腳本的開(kāi)頭，使用session_start()開(kāi)始會(huì)話。

2。實(shí)施基於角色的授權(quán)

授權(quán)確定允許經(jīng)過(guò)身份驗(yàn)證的用戶做什麼。管理此問(wèn)題的一種簡(jiǎn)單方法是在註冊(cè)或帳戶設(shè)置過(guò)程中分配“管理員”，“編輯”或“訪客”之類的角色。

控制訪問(wèn)：

• 在允許訪問(wèn)某些頁(yè)面或操作之前，請(qǐng)先從會(huì)話中檢查用戶的角色。
• 將未經(jīng)授權(quán)的用戶重定向到另一個(gè)頁(yè)面或顯示錯(cuò)誤消息。

例如，限制對(duì)管理儀表板的訪問(wèn)：

 if（$ _session ['remo']！=='admin'）{
    標(biāo)頭（'位置： /unauthorized.php'）;
    出口;
}

如果您的應(yīng)用程序增長(zhǎng)，請(qǐng)考慮構(gòu)建一個(gè)權(quán)限系統(tǒng)，其中每個(gè)角色都具有存儲(chǔ)在數(shù)據(jù)庫(kù)中的特定功能。

3。防止常見(jiàn)的安全問(wèn)題

即使您設(shè)置了身份驗(yàn)證和授權(quán)，仍然可以存在安全孔。這是一些常見(jiàn)的陷阱以及如何避免它們：

• 會(huì)話固定：使用session_regenerate_id(true)登錄後再生會(huì)話ID。
• 會(huì)話劫持：使用安全的Cookie和HTTPS。 set session.cookie_secure = 1和session.cookie_httponly = 1 in php.ini或ini_set() 。
• 蠻力攻擊：通過(guò)跟蹤每個(gè)IP或用戶名的登錄失敗，並暫時(shí)阻止可疑活動(dòng)來(lái)限制登錄嘗試。

另外，在使用之前，請(qǐng)務(wù)必對(duì)任何輸入進(jìn)行消毒和驗(yàn)證，尤其是對(duì)於用戶名，電子郵件或其他用戶生成的值之類的東西。

4?？紤]使用庫(kù)或框架

滾動(dòng)自己的驗(yàn)證系統(tǒng)適用於小型項(xiàng)目，但是隨著事物的規(guī)模，保持安全性和靈活性越來(lái)越困難。那就是框架和圖書(shū)館派上用場(chǎng)的地方。

流行選項(xiàng)包括：

• Laravel的內(nèi)置驗(yàn)證系統(tǒng)，該系統(tǒng)處理從登錄到密碼重置和基於角色的中間件的所有內(nèi)容。
• Symfony Security組件，可為您提供對(duì)訪問(wèn)和身份驗(yàn)證流的精細(xì)控制。
• 如果您正在使用Vanilla PHP，則第三方套餐（例如Phpauth） 。

這些工具經(jīng)過(guò)經(jīng)過(guò)良好的測(cè)試並節(jié)省了時(shí)間，因此，除非您有一個(gè)非常特定的用例，否則使用它們通常比從頭開(kāi)始構(gòu)建更好。

這基本上就是您在PHP中處理身份驗(yàn)證和授權(quán)的方式 - 很簡(jiǎn)單，但是如果您跳過(guò)基礎(chǔ)知識(shí)，則很容易犯錯(cuò)。

以上是如何在PHP中實(shí)施身份驗(yàn)證和授權(quán)？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！