有人告诉我,将密码、用户名和用户 ID 等内容存储在 cookie 中是不安全的,相反,您应该将 sessionID 存储在 cookie 中。这就是我迷路的地方。
我的目标是拥有一个基本的“记住我”功能。通常我会将用户登录信息存储在 cookie 中,但由于这是不安全的,我想知道替代方案是什么。我了解每次创建会话时都会创建一个 cookie,该 cookie 创建一个唯一 ID,但在我关闭浏览器时过期。那么在浏览器关闭后如何访问这个会话信息呢?
感谢所有帮助。
【问题讨论】:
标签: php security cookies session
可能最好的方法是创建一个包含以下字段的“user_sessions”数据库表:
session_id (var_char)
user_id (int)
ip_address (var_char)
last_logged_in (unix timestamp)
然后使用 cookie 存储您喜欢的任何 md5 哈希,可能:
md5($username.$ip); //since md5 has a lot of reverse look ups now you should use a number of fields to validate. You could use a different crypto function to make it more difficult to crack, but md5 is the simplest version available in all php versions.
编辑:然后,您将把 cookie 中存储的哈希值与数据库 session_id 进行比较,看看他们是否已经登录。在 md5 函数中组合几个字段的原因是为了创建一种不太“可猜测”的散列格式。它降低了某人能够编辑 cookie 并以其他人身份登录的可能性。
这可以为所有用户完成(这样您就可以跟踪谁在线)并且只需在 cookie 中设置一个“持久”登录变量。例如。
p_login=true || p_login=false
这样你就知道是自动登录还是强制登录。
注意:您也许可以查看http://www.openwall.com/articles/PHP-Users-Passwords 以了解对密码、session_id 和用户进行哈希处理的不同方法。
【讨论】:
md5($username.ip);) 中存储的相同? // 根据您的示例,IP 地址似乎用于身份验证,因此如果他们的 IP 地址更改(代理),他们将不得不再次登录,对吗? (不是问题,只是好奇。) // 另外,last_logged_in 字段的具体用途是什么? (再次,只是好奇?)
这可能是一个相当陡峭的学习曲线。您是否考虑过使用现有的 CMS 或其他解决方案来实现您想要实现的目标,或者甚至是可能包含此功能的框架?
对于“记住我”功能,您可以发送包含用户 ID 和该用户哈希密码哈希的 cookie,该哈希密码再次使用一些已知但秘密的令牌进行哈希处理。但是,该解决方案不允许您在不重置某人密码的情况下远程使某人的登录名失效。
因此,另一种方法是为该人的登录生成一个唯一令牌,并使用另一个数据库表将该唯一令牌与特定用户和到期日期相关联。
【讨论】: