大家平时怎样实现自动登录机制呢？

最近在看ecshop的代码，看里面写的自动登录是通过存放在cookie里的user_id和user_password，登录时如果session_id为空则通过这两个cookie查询数据库看有没有匹配项，感觉没什么安全机制啊，还是说自动登录本身就是这种安全性不高的功能，大家平时怎么写

回复内容：

最近在看ecshop的代码，看里面写的自动登录是通过存放在cookie里的user_id和user_password，登录时如果session_id为空则通过这两个cookie查询数据库看有没有匹配项，感觉没什么安全机制啊，还是说自动登录本身就是这种安全性不高的功能，大家平时怎么写

在cookie里存放一个token，在验证登录的时候通过两种方式：1、用户名密码 2、token
token内容是带有效时间的，在有效时间内，直接通过token验证，超时的情况下，跳转到login页面让用户输入用户名密码。

将用户名和密码直接存cookie时要加密，或者生成一个token存cookie，打开系统时先检查token的有效性