Danke für den Hinweis auf Slim. Werde ich mir mal angucken.

Kommt die Zend-Framework-Empfehlung von Herzen oder steht sie da nur so, weil es eines der namhaften ist? Für mich ist das Zend Framework nicht tragbar. Um dort irgendwas zu erreichen, muss man eine irre komplexe, verschachtelte Arraystruktur aufbauen. Jede Menge Schlüssel, die man wissen oder nachschlagen muss, sind da als String anzugeben. IDEs können da nicht mit Autovervollständigen helfen - na, vielleicht gibts spezielle Module dafür.

Ich sehe bei Zend\Authentication nur die Adapter-Konfiguration, die als Array übergeben wird, der Rest der API ist typ-annotiert. Die Array-Konfiguration ist zwar nicht schön, aber für mich noch kein Totschlagargument.

Es gibt jedenfalls genügend Listen mit Frameworks für PHP. Mein Favorit ist derzeit Slim, ein Microframework.

Das spricht mich auf den ersten Blick auch an, hat was von express.js für PHP. Nur finde ich da in der Doku nichts über Authentication.

Dann werde ich mich wohl mal bei Symfony umgucken, obwohl ich kein Fan von solchen "großen" Frameworks bin.

In dem Fall musst du nicht das komplette Symfony-Framework benutzen, das Authentication-Modul läuft auch eigenständig. Übrigens gilt das auch für das Zend-Framework.

Aus den, den eingeweihten Personen bekannten Gründen halte ich mich aus der inhaltlichen Diskussion zu "Login-System" raus.

Allerdings gebe ich das Statement ab, dass ich mich der negativen Beurteilung der Meinungsäußerung nicht anzuschließen vermag. Mindestens die Äußerung

"Wenn man schon auf erprobte Frameworks hinweist, sollte man im eigenen Artikel wenigstens erklären können, wie das Loginsystem konkret in diesem erprobten Framework realisiert ist -- Also von Allgemeinen zum Besonderen."

hat, als Meinung, sehr viel Richtiges.

Ja, Mindestens. Und was sich aus dem Rest wieder entwickelt sehen wir 😉

Schönes Wochenende.

Tach!

Ingteressant und sicherheitstechnisch relevant ist u.a. die Frage, wer die Session-ID initial vorgibt. Auf diese Frage wird in Eurem Artikel gar nicht eingegangen.

Warum das relevant und interessant sei sollte, darauf gehst du in deiner Anmerkung auch nicht ein.

Eben das sollte ja euer Artikel tun. Und es ist egal wie diese Frage beanwortet wird, sie kommt so oder so und so würde man ohnehin erwarten daß euer Artikel dieser Frage nachgeht.

Schöner Sonntag.

Lieber Tom,

die Frage ob der Client die SID initial erstellen darf oder ob das serverseitig erfolgt über eine zentrale Verwaltung, sollte ein Fachartikel zu diesem Thema auf jeden Fall beantworten. Und wenn man selbst ein solches System betreibt, sollte man den genauen Ablauf schon kennen, insbesondere wenn jemand in das System eingedrungen ist.

Wenn jemand in Deine Wohnung reinkommt, wirst Du Dich sicher auch fragen ob er den Schlüssel von Dir bekommen hat oder ob er sich selbst einen angefertigt hat.

Schöne Grüße.