Cookie + db token + session 身份验证，我可以取消会话吗

Question

我有一个小网络应用程序，它使用了很多 ajax。有人登录后，我们需要持久化的是他们的user_id和group_id

我第一次进行身份验证的方式是，我只是将这些作为 clear txt 存储在 cookie ( $_COOKIE['user_id'], $_COOKIE['group_id'] ) 中。显然这很糟糕，因为您可以修改这两个值！

我不是一个经验丰富的程序员，也不需要为这个应用提供惊人的安全性。但这很糟糕。

因此，我继续在数据库中创建一个令牌，该数据库存储 user_id、group_id 和一个哈希令牌，然后将该令牌仅放入 cookie 中。一旦令牌通过身份验证（cookie 匹配数据库），user_id 和 group_id 就会创建为会话。

这更安全，但是必须管理 user_id 和 group_id 会话（超时、重新初始化）与仅从 cookie 中获取它们的整个过程造成了很多麻烦，并使我的应用程序的实际功能不太可靠。

现在接受我的技能水平，并且我的应用程序的简单管理 + 强大的功能比高级安全性更重要......我想知道我是否可以取消会话，并通过仍然做出妥协将 user_id 和 group id 存储在 cookie 中，但与哈希一起存储 - 即

COOKIE['token'] = user_id_val+group_id_val+hash_in_db

看起来像：23-144-jhwr8324398fjk2j49083223n23

所以我只需要一个小函数来解析该字符串并从中执行所有操作。有人可以更改值，但显然哈希不匹配。

这样好吗？

Answer 1

您根本不需要 cookie（当然，会话 cookie 除外）来进行身份验证。下面是一个简单的无 cookie 身份验证示例：

session_start();

// $db is a pseudo object for database access

// Verify login
$auth = false;
if (isset($_SESSION['user_id']) && isset($_SESSION['user_hash'])) {
   $user = $db->getUserById($_SESSION['user_id']);
   if ($user) {
      $hash = sha1($user->id.$user->salt);
      if ($hash === $_SESSION['user_hash']) $auth = true;
   }
}

// Make login
if (isset($_POST['login'])) {
   $user = $db->getUserByCredentials($_POST['login'], $_POST['password']);
   if ($user) {
      $_SESSION['user_id'] = $user->id;
      $_SESSION['user_hash'] = sha1($user->id.$user->salt);
      // redirect...
   }
   // redirect to error page
}

当然，这可以改进以添加针对各种攻击的防御机制，存储用户信息等，但这是基本思想。这比使用 cookie 更安全。