Bu oldukça fazla bunu yapmak için standart bir yol. , Kullanıcı veritabanı / parola dosyasında / diğer bazı kimlik doğrulama karşı veri kullanıcının kimliğini bir oturum değişkeni kimlik durumunu saklamak ve oturum değişkeni düzgün kullanıcı yetkilendirme gerektiren bir eylem yapmak için girişimleri her zaman ayarlı olup olmadığını kontrol edin nihayet.

Eğer bir kontrol daha ince taneli düzeyi gerekiyorsa tabanlı rol Access Control Lists içine bakmak olabilir. Bu şekilde, kimliği doğrulanmış kullanıcılar bunları verdik rolüne dayalı uygulama belirli bölümlerine erişim izni ya da reddedilir. Bu normal parola kimlik doğrulama üstüne ek bir güvenlik önlemidir.

Eğer tek bir kullanıcı var ise, örneğin admin ACL olsa overkill.

Oturum kimlikleri genellikle çerez olarak istemci tarafı saklanır. Birisi çerez çaldı, onlar oturumunu yönlendirebilirsiniz. Eğer giriş için güvenli bir bağlantı kullanmak bile, daha sonra, teminatsız istekleri tel üzerinden gönderecek, ve herhangi bir XSS açıkları ne olursa olsun şifreli iletişimin oturum tanımlama yakalamak için kullanılabilir. session_set_cookie_params çerez gönderilen sayfaların alt etki alanı ve yol sınırlamak için kullanın.

HTTP ile bir şey çalışmak mümkün olabilir digest access authentication. Bu bir meydan okuma-yanıt kimlik doğrulama protokolü bulunuyor ve böylece protokol seviyesinde şifreleme olmaksızın çalışmak üzere tasarlanmıştır. Ancak, bilinen zayıflıklarını olan MD5, dayalı. Meydan okuma hayatı göz önüne alındığında, bu bir sorun olmayabilir. Digest auth a man-in-the-middle saldırıya açıktır.