使用 cookie 恢复会话是否正确？

Question

如有错误请指正：

• 会话将持续有限的时间（每 15 分钟左右从服务器刷新一次，直到浏览器关闭）- 更安全/短期
• 另一方面，Cookie 可以持续到浏览器关闭或未来某个特定时间 - 最不安全/长期

鉴于此，如何允许用户关闭他/她的计算机，几天后返回并打开一个站点，仍然使用 cookie 登录并且仍然以某种方式安全？

有人喜欢怎么做，例如亚马逊？

编辑：

为了更清楚，这里是一个例子：

if (!isset($_SESSION['id'])) 
{   
    $_SESSION['id'] = $_COOKIE['id'];
    $_SESSION['email'] = $_COOKIE['email'];
}

这显然很糟糕，有什么更好的方法？

Answer 1

首先，“会话”更多的是一个概念，而不是具体的实现。

对于 PHP，我相信会话数据存储在文件系统上的默认方式，它与通常存储在 cookie 中的会话 ID 相关联（尽管它也可以通过查询字符串参数发送：http:// stackoverflow.com/a/455099/23822）。

也可以store session in a database。这样做可以让您完全控制会话数据的存储方式和过期时间，这样您就可以拥有可以持续多久的会话。您只需要确保会话 cookie 也与数据库中的数据共享相同的过期时间。

关于您在评论中提出的问题：“是什么阻止了某人获取 cookie 数据并使用令牌伪造登录？”理论上这可能会发生，但存储在 cookie 中的会话 ID 应该是随机的，因此它被猜到的可能性很小（攻击者会更容易猜到用户的密码）。事实上，任何类型的会话都可以实现同样的事情。

Answer 2

对于 cookie，我使用此处描述的方法： http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/ 在这里：http://jaspan.com/improved_persistent_login_cookie_best_practice

Answer 3

会话过期主要是因为在服务器上保持打开状态效率低下。无论如何，您都需要一个 cookie（或其他一些机制，但通常使用 cookie）来将它们与浏览器相关联。

亚马逊通过三个级别的“登录”来处理安全问题。

第 1 级：基本功能正常工作。

第 2 级：您必须重新输入密码才能访问某些内容（例如订单历史记录）

第 3 级：您必须重新输入付款信息才能访问某些内容（例如添加新的收货地址）

Answer 4

您将基于会话的安全令牌存储在用户的 cookie 数据中，并将相同的令牌存储在用户的数据库表中。在创建会话时，您检查此用户名/令牌对是否可以根据之前存储的数据登录您的网站，然后使令牌无效。