 | Apache :: authticketクッキーベースのアクセスモジュール |
| 今すぐダウンロード | |
Apache :: authticket ランキングとまとめ
広告
- ライセンス:
- Perl Artistic License
- 価格:
- FREE
- 出版社名:
- Michael Schout
- 出版社のWebサイト:
- http://search.cpan.org/mschout/
Apache :: authticket タグ
Apache :: authticket 説明
クッキーベースのアクセスモジュール Apache :: AuthTicketは、チケットベースのアクセス制御を提供するPerlモジュールです。背後にある理論は、EAGLE BOOKで説明されているシステムと似ています。このモジュールは、HTTP Cookieを使用してユーザーがページを表示する権限を確認しているかどうかを確認します。 Apache :: AuthCookieはCookieを管理するための基礎となるメカニズムとして使用されます。このモジュールはできるだけ拡張可能になるように設計されています。このモジュールのさまざまな側面をカスタマイズするために、Apache :: AuthTicketのあなた自身のサブクラスを作成することが非常に高い(あなた自身のバージョンのフォームのバージョンを表示、データベースメソッドのオーバーライド)。このシステムはCookieを使用してユーザーを認証します。ユーザがこのシステムを介して認証されると、それらは時間、ユーザのユーザ名、クッキーの排出時間、「秘密」バージョン(後述)、および暗号署名からなるクッキーを発行される。暗号署名は、Cookieデータ上のMD5アルゴリズムとデータベースから読み取られた「秘密」キーを使用して生成されます。各秘密鍵には、それに関連するバージョン番号もあります。これにより、サイト管理者は現在の有効なチケットを無効にせずに定期的に新しい秘密を発行することができます。たとえば、サイト管理者は定期的に新しい秘密鍵を定期的にデータベースに挿入し、2日以上の秘密をフラッシュします。ユーザに発行されたチケットはシークレットバージョンを含むので、認証プロセスは、チケット秘密テーブルに存在する秘密が存在する限り、認証プロセスは承認されることになります。実際の内容と秘密データの長さはサイト管理者に残されています。良い選択は、/ dev / Randomからデータを読み取ること、それを16進文字列に解凍し、それを保存することです。このシステムは、エンドユーザーのIPアドレスが暗号署名に組み込まれています。チケットが傍受された場合、攻撃者はチケットを使用できるようにするためにユーザーのIPアドレスを盗む必要があります。さらに、チケットが自動的に期限切れになる可能性があるので、チケットが長期間無効であることを確認できます。最後に、Apache :: AuthCookieのセキュアモードを使用することによって、チケットは暗号化されていない接続を介して渡されません。このシステムを攻撃するために、攻撃者はMD5アルゴリライトとSSLの両方を悪用する必要があります。チャンスは、ユーザーがこれらの両方を破る可能性がある時までに、チケットはもはや有効ではありません。要件: ・Perl
Apache :: authticket 関連ソフトウェア
