Phalcon-보안 기능

Phalcon은 보안 구성 요소의 도움으로 보안 기능을 제공하여 암호 해싱 및 Cross-Site Request Forgery (CSRF).

해싱 암호

Hashing고정 길이 비트 문자열을 되돌릴 수없는 방식으로 지정된 길이로 변환하는 프로세스로 정의 할 수 있습니다. 입력 문자열을 변경하면 해시 된 데이터의 값이 변경됩니다.

해시 된 데이터의 복호화는 사용자가 입력 한 값을 입력으로 취하고 동일한 해시 형식을 비교하여 발생합니다. 일반적으로 웹 기반 응용 프로그램의 경우 암호를 일반 텍스트로 저장하는 것은 좋지 않습니다. 데이터베이스에 액세스 할 수있는 사용자는 모든 사용자의 암호를 쉽게 얻을 수 있으므로 타사 공격에 취약합니다.

Phalcon은 다음과 같은 알고리즘을 따르는 암호화 된 형태로 암호를 저장하는 쉬운 방법을 제공합니다. md5, base64 또는 sh1.

블로그 용 프로젝트를 만든 이전 장에서 볼 수 있듯이. 로그인 화면은 사용자의 사용자 이름과 비밀번호를 입력합니다. 사용자로부터 암호를 받고 특정 형식으로 암호를 해독하기 위해 다음 코드 조각이 사용됩니다.

그런 다음 해독 된 암호는 사용자 입력으로 승인 된 암호와 일치합니다. 값이 일치하면 사용자는 웹 애플리케이션에 성공적으로 로그인 할 수 있으며 그렇지 않으면 오류 메시지가 표시됩니다.

<?php  
class UsersController extends Phalcon\Mvc\Controller {  
   public function indexAction() {  
   }  
   public function registerUser() { 
      $user = new Users();  
      $login    = $this->request->getPost("login"); 
      $password = $this->request->getPost("password");
      $user->login = $login;  
      
      // Store the hashed pasword 
      $user->password = $this->security->sh1($password);  
      $user->save(); 
   }  
   public function loginAction() {  
      if ($this->request->isPost()) {  
         $user = Users::findFirst(array( 
            'login = :login: and password = :password:', 
            'bind' => array( 
               'login' => $this->request->getPost("login"), 
               'password' => sha1($this->request->getPost("password")) 
            ) 
         ));  
         if ($user === false) { 
            $this->flash->error("Incorrect credentials"); 
            return $this->dispatcher->forward(array( 
               'controller' => 'users', 
               'action' => 'index' 
            )); 
         }
         $this->session->set('auth', $user->id);  
         $this->flash->success("You've been successfully logged in"); 
      }  
      return $this->dispatcher->forward(array( 
         'controller' => 'posts', 
         'action' => 'index' 
      )); 
   }  
   public function logoutAction() { 
      $this->session->remove('auth'); 
      return $this->dispatcher->forward(array( 
         'controller' => 'posts', 
         'action' => 'index' 
      )); 
   }  
}

데이터베이스에 저장된 비밀번호는 다음과 같이 암호화 된 형식입니다. sh1 연산.

사용자가 적절한 사용자 이름과 암호를 입력하면 사용자는 시스템에 액세스 할 수 있습니다. 그렇지 않으면 유효성 검사로 오류 메시지가 표시됩니다.

교차 사이트 요청 위조 (CSRF)

웹 응용 프로그램의 인증 된 사용자가 원하지 않는 특정 작업을 수행하도록하는 공격입니다. 사용자의 입력을받는 양식은이 공격에 취약합니다. Phalcon은 애플리케이션 외부에서 양식을 통해 전송되는 데이터를 보호하여 이러한 공격을 방지하려고합니다.

각 형식의 데이터는 토큰 생성을 통해 보호됩니다. 생성 된 토큰은 무작위이며 양식 데이터를 보내는 토큰과 일치합니다 (대부분 POST 메서드를 통해 웹 애플리케이션 외부에 있음).

암호:

<?php echo Tag::form('session/login') ?>  
   <!-- Login and password inputs ... -->  
   <input type = "hidden" name = "<?php echo $this->security->getTokenKey() ?>" 
      value = "<?php echo $this->security->getToken() ?>"/>  
</form>

Note − 모든 데이터가 세션에 유지되므로 형식의 토큰을 보내는 동안 세션 어댑터를 사용하는 것이 중요합니다.

세션 어댑터 포함 services.php 다음 코드를 사용하십시오.

/** 
   * Start the session the first time some component request the session service 
*/ 

$di->setShared('session', function () { 
   $session = new SessionAdapter(); 
   $session->start();  
   return $session; 
});