PHP永久登录、记住我功能实现方法和安全做法

发布时间：2020-12-13 02:35:37 所属栏目：PHP教程来源：网络整理

导读：《PHP永久登录、记住我功能实现方法和安全做法》要点：本文介绍了PHP永久登录、记住我功能实现方法和安全做法，希望对您有用。如果有疑问，可以联系我们。永久登录指的是在浏览器会话间进行持续验证的机制.换句话说,今天已登录的用户明天依然是处于登录状

《PHP永久登录、记住我功能实现方法和安全做法》要点：
本文介绍了PHP永久登录、记住我功能实现方法和安全做法，希望对您有用。如果有疑问，可以联系我们。

永久登录指的是在浏览器会话间进行持续验证的机制.换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样.永久登录的存在降低了你的验证机制的平安性,但它增加了可用性.不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择.PHP编程

据我观察,最常见的有缺陷的永久登录方案是将用户名和暗码保存在一个cookie中.这样做的诱惑是可以理解的――不需要提示用户输入用户名和暗码,你只要简单地从cookie中读取它们即可.验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案.PHP编程

不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更平安的方案的一些思路.你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了.PHP编程

永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制.如果该cookie提供永久访问,它就会造成对你的应用的平安的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证.PHP编程

第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险.尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的平安性.这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码.PHP编程

为避免使用用户的暗码,可以建立一个只供一次验证有效的标识：
PHP编程

代码如下:

<?php

$token = md5(uniqid(rand(),TRUE));

?>

你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提.因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来.

由于用户名与暗码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识.可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识.考虑在保存用户名和暗码的数据表中加入三个字段：第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout).
PHP编程

代码如下:

mysql> DESCRIBE users;

+------------+------------------+------+-----+---------+-------+

| Field????? | Type???????????? | Null | Key | Default | Extra |

+------------+------------------+------+-----+---------+-------+

| username?? | varchar(25)????? |????? | PRI |???????? |?????? |

| password?? | varchar(32)????? | YES? |???? | NULL??? |?????? |

| identifier | varchar(32)????? | YES? | MUL | NULL??? |?????? |

| token????? | varchar(32)????? | YES? |???? | NULL??? |?????? |

| timeout??? | int(10) unsigned | YES? |???? | NULL??? |?????? |

+------------+------------------+------+-----+---------+-------+

通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包括任何用户验证信息的cookie.

代码如下:

<?php

$salt = 'SHIFLETT';PHP编程

$identifier = md5($salt . md5($username . $salt));
$token = md5(uniqid(rand(),TRUE));
$timeout = time() + 60 * 60 * 24 * 7;PHP编程

setcookie('auth',"$identifier:$token",$timeout);PHP编程

?>
PHP编程

当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查：

代码如下:

<?php

/* mysql_connect() */
/* mysql_select_db() */PHP编程

$clean = array();
$mysql = array();PHP编程

$now = time();
$salt = 'SHIFLETT';PHP编程

list($identifier,$token) = explode(':',$_COOKIE['auth']);PHP编程

if (ctype_alnum($identifier) && ctype_alnum($token))
{
? $clean['identifier'] = $identifier;
? $clean['token'] = $token;
}
else
{
? /* ... */
}PHP编程

$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);PHP编程

$sql = "SELECT username,token,timeout
??????? FROM?? users
??????? WHERE? identifier = '{$mysql['identifier']}'";PHP编程

if ($result = mysql_query($sql))
{
? if (mysql_num_rows($result))
? {
??? $record = mysql_fetch_assoc($result);PHP编程

??? if ($clean['token'] != $record['token'])
??? {
????? /* Failed Login (wrong token) */
??? }
??? elseif ($now > $record['timeout'])
??? {
????? /* Failed Login (timeout) */
??? }
??? elseif ($clean['identifier'] !=
??????????? md5($salt . md5($record['username'] . $salt)))
??? {
????? /* Failed Login (invalid identifier) */
??? }
??? else
??? {
????? /* Successful Login */
??? }PHP编程

? }
? else
? {
??? /* Failed Login (invalid identifier) */
? }
}
else
{
? /* Error */
}PHP编程

?>
PHP编程

你应该保持从三个方面来限制永久登录cookie的使用.

1.Cookie需在一周内(或更少)过期
2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
3.在服务器端限定cookie在一周(或更少)时间内过期PHP编程

如果你想要用户无限制的被记住,那只要是该用户的拜访你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可.PHP编程

另一个有用的原则是在用户执行敏感操作前需要用户提供暗码.你只能让永久登录用户访问你的应用中不是特别敏感的功能.在执行一些敏感操作前让用户手工进行验证是不可替代的步骤.PHP编程

最后,你需要确认登出系统的用户是确实登出了,这包含删除永久登录cookie：
PHP编程

代码如下:

<?php

setcookie('auth','DELETED!',time());

?>

上例中,cookie被无用的值填充并设为立即过期.这样,即使是由于一个用户的时钟不准而导致cookie坚持有效的话,也能保证他有效地退出.

编程之家培训学院每天发布《PHP永久登录、记住我功能实现方法和安全做法》等实战技能，PHP、MYSQL、LINUX、APP、JS,CSS全面培养人才。

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!