Fatal编程技术网
  • opencart/
  • opencart会话令牌何时被接受为有效?

opencart会话令牌何时被接受为有效?

opencart

opencart会话令牌何时被接受为有效?,opencart,token,Opencart,Token,这包括子问题:opencart令牌是如何生成的 我问这个问题是因为我安装了一个复制的opencart(DB和所有东西),并且只修改了相应的config.php和admin/config.php(缓存都被删除了),这样做了30次 一切都很好,所有的商店都运作良好。他们各自的店主拥有不同的密码,可以登录和操作他们的店铺。 问题是。。。所有存储都可以作为“我的域”的子文件夹访问 domain.com/store1 domain.com/store2 etc. 关键是:使用所有者的密码(比如dom

这包括子问题:opencart令牌是如何生成的

我问这个问题是因为我安装了一个复制的opencart(DB和所有东西),并且只修改了相应的
config.php
admin/config.php
(缓存都被删除了),这样做了30次

一切都很好,所有的商店都运作良好。他们各自的店主拥有不同的密码,可以登录和操作他们的店铺。 问题是。。。所有存储都可以作为“我的域”的子文件夹访问

domain.com/store1

domain.com/store2

etc.
关键是:使用所有者的密码(比如
domain.com/store1/admin
)登录一个商店可以正常工作,并为会话生成一个令牌。 问题是。。。现在所有商店都接受令牌(其所有者是具有不同密码的不同人员)

只需将url从以下位置更改:

domain.com/store1/admin/index.php?route=common/home&token=3b029982197b80009b608328508aade2

现在店主1可以访问店主2的管理面板,而不需要知道或输入他的密码

非常关键

我如何使这不可能。请帮助我理解这些opencart代币。

有几种方法可以实现您的目标。你也可以

  • 将存储区的URI保存在会话变量中,与可根据验证的令牌一起
  • 将令牌保存在用户表中并根据该表进行验证
令牌的实际验证在
/admin/controller/common/home.php
方法
login()


domain.com/store2/admin/index.php?route=common/home&token=3b029982197b80009b608328508aade2