Моя цель - безопасный вход в систему, например, использование stackoverflow. Я новичок, но, как вы, наверное, видели, я целый день смотрел статьи стекирования в безопасности. В результате этого исследования я разработал план нападения. В частности, эта страница была отличной помощью Using OpenID for website Authentication. Не могли бы вы рассказать мне, будет ли следующая система безопасной системой, и если нет, то как мне улучшить систему.Безопасная идентификация пользователя OpenID
Используйте OpenID для проверки пользователей.
Как только пользователь был проверен OpenID, получите адрес электронной почты от OpenID.
Хешируйте адрес электронной почты и храните в переменной сеанса.
Сравнить HASHED адрес электронной почты для списка хэшированных адресов электронной почты в базах данных
Содержания Возврата соответствующих этого пользователя на основании Хешированного адреса электронной почты.
В частности, я нервничаю из-за использования адреса электронной почты вместо ProviderOpenID.
Пожалуйста, предположим, что у меня есть (как я нашел ответы на эти вопросы на других страницах StackOverflow):
Правильно разрушенные сеансы после использования.
Настройка моего сервера для хранения данных сеанса в недоступном месте.
Настройте мою базу данных безопасным способом.
Я использую SSL, чтобы гарантировать, что трафик не может быть перехвачен.
Заранее спасибо.
Благодаря @imichaelmiers это была отличная помощь. Это то, что я буду делать. Можете ли вы порекомендовать архитектуру аутентификации для PHP? – Brett