Inhaltsverzeichnis
PHP永久登录、记住我功能实现方法和安全做法
Heim Backend-Entwicklung PHP-Tutorial PHP永久登录、记住我功能实现方法和安全做法_PHP教程

PHP永久登录、记住我功能实现方法和安全做法_PHP教程

Jul 13, 2016 am 09:55 AM
php

PHP永久登录、记住我功能实现方法和安全做法

   PHP永久登录、记住我功能实现方法和安全做法

         这篇文章主要介绍了PHP永久登录、记住我功能实现方法和安全做法,本文着重讲解用数据库实现更安全的永久登录、记住我功能,需要的朋友可以参考下

  永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。

  据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。

  不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。

  永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。

  第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。

  为避免使用用户的密码,可以建立一个只供一次验证有效的标识:

  代码如下:

  

  $token = md5(uniqid(rand(), TRUE));

  ?>

  你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。

  由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。

   代码如下:

  mysql> DESCRIBE users;

  +------------+------------------+------+-----+---------+-------+

  | Field | Type | Null | Key | Default | Extra |

  +------------+------------------+------+-----+---------+-------+

  | username | varchar(25) | | PRI | | |

  | password | varchar(32) | YES | | NULL | |

  | identifier | varchar(32) | YES | MUL | NULL | |

  | token | varchar(32) | YES | | NULL | |

  | timeout | int(10) unsigned | YES | | NULL | |

  +------------+------------------+------+-----+---------+-------+

  通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。

  代码如下:

  

  $salt = 'SHIFLETT';

  $identifier = md5($salt . md5($username . $salt));

  $token = md5(uniqid(rand(), TRUE));

  $timeout = time() + 60 * 60 * 24 * 7;

  setcookie('auth', "$identifier:$token", $timeout);

  ?>

  当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:

   代码如下:

  

  /* mysql_connect() */

  /* mysql_select_db() */

  $clean = array();

  $mysql = array();

  $now = time();

  $salt = 'SHIFLETT';

  list($identifier, $token) = explode(':', $_COOKIE['auth']);

  if (ctype_alnum($identifier) && ctype_alnum($token))

  {

  $clean['identifier'] = $identifier;

  $clean['token'] = $token;

  }

  else

  {

  /* ... */

  }

  $mysql['identifier'] = mysql_real_escape_string($clean['identifier']);

  $sql = "SELECT username, token, timeout

  FROM users

  WHERE identifier = '{$mysql['identifier']}'";

  if ($result = mysql_query($sql))

  {

  if (mysql_num_rows($result))

  {

  $record = mysql_fetch_assoc($result);

  if ($clean['token'] != $record['token'])

  {

  /* Failed Login (wrong token) */

  }

  elseif ($now > $record['timeout'])

  {

  /* Failed Login (timeout) */

  }

  elseif ($clean['identifier'] !=

  md5($salt . md5($record['username'] . $salt)))

  {

  /* Failed Login (invalid identifier) */

  }

  else

  {

  /* Successful Login */

  }

  }

  else

  {

  /* Failed Login (invalid identifier) */

  }

  }

  else

  {

  /* Error */

  }

  ?>

  你应该坚持从三个方面来限制永久登录cookie的使用。

  1.Cookie需在一周内(或更少)过期

  2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)

  3.在服务器端限定cookie在一周(或更少)时间内过期

  如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。

  另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

  最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:

  复制代码 代码如下:

  

  setcookie('auth', 'DELETED!', time());

  ?>

  上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/990992.htmlTechArticlePHP永久登录、记住我功能实现方法和安全做法 PHP永久登录、记住我功能实现方法和安全做法 这篇文章主要介绍了PHP永久登录、记住我功能...
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
2 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Repo: Wie man Teamkollegen wiederbelebt
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Abenteuer: Wie man riesige Samen bekommt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

CakePHP-Projektkonfiguration CakePHP-Projektkonfiguration Sep 10, 2024 pm 05:25 PM

In diesem Kapitel werden wir die Umgebungsvariablen, die allgemeine Konfiguration, die Datenbankkonfiguration und die E-Mail-Konfiguration in CakePHP verstehen.

PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian Dec 24, 2024 pm 04:42 PM

PHP 8.4 bringt mehrere neue Funktionen, Sicherheitsverbesserungen und Leistungsverbesserungen mit einer beträchtlichen Menge an veralteten und entfernten Funktionen. In dieser Anleitung wird erklärt, wie Sie PHP 8.4 installieren oder auf PHP 8.4 auf Ubuntu, Debian oder deren Derivaten aktualisieren. Obwohl es möglich ist, PHP aus dem Quellcode zu kompilieren, ist die Installation aus einem APT-Repository wie unten erläutert oft schneller und sicherer, da diese Repositorys in Zukunft die neuesten Fehlerbehebungen und Sicherheitsupdates bereitstellen.

CakePHP Datum und Uhrzeit CakePHP Datum und Uhrzeit Sep 10, 2024 pm 05:27 PM

Um in cakephp4 mit Datum und Uhrzeit zu arbeiten, verwenden wir die verfügbare FrozenTime-Klasse.

CakePHP-Datei hochladen CakePHP-Datei hochladen Sep 10, 2024 pm 05:27 PM

Um am Datei-Upload zu arbeiten, verwenden wir den Formular-Helfer. Hier ist ein Beispiel für den Datei-Upload.

CakePHP-Routing CakePHP-Routing Sep 10, 2024 pm 05:25 PM

In diesem Kapitel lernen wir die folgenden Themen im Zusammenhang mit dem Routing kennen.

Besprechen Sie CakePHP Besprechen Sie CakePHP Sep 10, 2024 pm 05:28 PM

CakePHP ist ein Open-Source-Framework für PHP. Es soll die Entwicklung, Bereitstellung und Wartung von Anwendungen erheblich vereinfachen. CakePHP basiert auf einer MVC-ähnlichen Architektur, die sowohl leistungsstark als auch leicht zu verstehen ist. Modelle, Ansichten und Controller gu

So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein Dec 20, 2024 am 11:31 AM

Visual Studio Code, auch bekannt als VS Code, ist ein kostenloser Quellcode-Editor – oder eine integrierte Entwicklungsumgebung (IDE) –, die für alle gängigen Betriebssysteme verfügbar ist. Mit einer großen Sammlung von Erweiterungen für viele Programmiersprachen kann VS Code c

CakePHP erstellt Validatoren CakePHP erstellt Validatoren Sep 10, 2024 pm 05:26 PM

Der Validator kann durch Hinzufügen der folgenden zwei Zeilen im Controller erstellt werden.

See all articles