PHP 보안 - 영구 로그인

영구로그인

영구 로그인은 브라우저 세션 간의 지속적인 인증을 위한 메커니즘을 의미합니다. 즉, 오늘 로그인한 사용자는 방문 사이에 사용자 세션이 만료되더라도 내일에도 계속 로그인됩니다.

영구 로그인이 있으면 인증 메커니즘의 보안이 저하되지만 유용성은 향상됩니다. 번거로운 사용자가 방문할 때마다 인증하는 대신 로그인 정보를 기억하는 옵션을 제공하세요.

그림 7-2. 공격자가 사용자의 쿠키를 재생하여 무단 접속

내가 관찰한 바에 따르면 가장 일반적인 결함이 있는 영구 로그인 방식은 사용자 이름과 비밀번호를 쿠키에 저장하는 것입니다. 사용자에게 사용자 이름과 비밀번호를 입력하라는 메시지를 표시하는 대신 쿠키에서 간단히 읽을 수 있습니다. 나머지 확인 과정은 일반 로그인과 동일하므로 이 시나리오는 간단합니다.

그러나 사용자 이름과 비밀번호를 쿠키에 저장하는 경우 즉시 이 기능을 끄고 이 섹션의 나머지 부분을 읽고 보다 안전한 솔루션을 구현하기 위한 몇 가지 아이디어를 찾으십시오. 또한 이 쿠키를 사용하는 모든 사용자에게 인증 정보가 노출되었으므로 향후 비밀번호를 변경하도록 요구해야 합니다.

영구 로그인에는 종종 인증 쿠키라고 불리는 영구 로그인 쿠키가 필요합니다. 왜냐하면 쿠키는 여러 세션에 걸쳐 안정적인 데이터를 제공하는 데 사용되는 유일한 표준 메커니즘이기 때문입니다. 쿠키가 영구적인 액세스를 제공하는 경우 애플리케이션의 보안에 심각한 위험을 초래하므로 쿠키에 저장한 데이터가 제한된 기간 동안만 인증에만 사용될 수 있는지 확인해야 합니다.

첫 번째 단계는 캡처된 영구 로그인 쿠키로 인해 발생하는 위험을 완화하는 방법을 고안하는 것입니다. 쿠키 캡처는 피하고 싶은 것이지만 심층 방어 프로세스를 갖추는 것이 가장 좋습니다. 특히 이 메커니즘은 모든 것이 제대로 작동하는 경우에도 유효성 검사 양식의 보안을 약화시킬 수 있기 때문입니다. 이러한 방식으로 사용자의 비밀번호와 같이 영구 로그인을 제공하는 정보를 기반으로 쿠키를 생성할 수 없습니다.

사용자 비밀번호를 사용하지 않으려면 일회성 확인에만 유효한 ID를 생성할 수 있습니다.

CODE:
 
  <?php
 
  $token = md5(uniqid(rand(), TRUE));
 
  ?>

사용자 세션에 저장하여 특정 사용자와 연결할 수 있지만 이는 여러 세션에 걸쳐 로그인 상태를 유지하는 데 도움이 되지 않습니다. 이는 큰 문제입니다. 따라서 이 ID를 특정 사용자와 연결하려면 다른 방법을 사용해야 합니다.

사용자 이름은 비밀번호보다 덜 민감하므로 이를 쿠키에 저장할 수 있습니다. 그러면 인증자가 어떤 사용자 ID가 제공되었는지 확인하는 데 도움이 될 수 있습니다. 그러나 더 나은 접근 방식은 추측하고 발견하기 어려운 보조 ID를 사용하는 것입니다. 사용자 이름과 비밀번호를 저장하는 데이터 테이블에 두 번째 ID(식별자), 영구 로그인 ID(토큰) 및 영구 로그인 시간 초과(시간 초과)라는 세 가지 필드를 추가하는 것을 고려하십시오.

아아앙

2차 ID와 영구 로그인 ID를 생성하여 저장함으로써, 어떠한 사용자 인증 정보도 포함하지 않는 쿠키를 생성할 수 있습니다.

mysql> DESCRIBE users;
 
+------------+------------------+------+-----+---------+-------+
  | Field      | Type             | Null | Key |
Default | Extra |
 
+------------+------------------+------+-----+---------+-------+
  | username   | varchar(25)      |      | PRI |    
    |       |
  | password   | varchar(32)      | YES  |     |
NULL    |       |
  | identifier | varchar(32)      | YES  | MUL |
NULL    |       |
  | token      | varchar(32)      | YES  |     |
NULL    |       |
  | timeout    | int(10) unsigned | YES  |     |
NULL    |       |
 
+------------+------------------+------+-----+---------+-------+

사용자가 영구 로그인 쿠키를 사용할 때 여러 기준을 충족하는지 확인할 수 있습니다. 확인:

rree

영구 로그인 쿠키의 사용을 제한하려면 세 가지 측면을 고수해야 합니다.

l 쿠키는 1주일(또는 그 이하) 이내에 만료되어야 합니다.

l 쿠키 한 번의 확인에만 사용하는 것이 가장 좋습니다(확인 성공 후 삭제 또는 재생성)

l 서버 측에서 쿠키가 일주일(또는 그 이하) 이내에 만료되도록 제한

사용자가 만료 시간보다 더 자주 애플리케이션을 방문하는 한 사용자를 무기한으로 기억하려면 각 확인 후 식별자를 다시 생성하고 새 쿠키를 설정하면 됩니다.

另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

最后，你需要确认登出系统的用户是确实登出了，这包括删除永久登录cookie：

CODE:
 
  <?php
 
  setcookie(&#39;auth&#39;, &#39;DELETED!&#39;, time());
 
  ?>

上例中，cookie被无用的值填充并设为立即过期。这样，即使是由于一个用户的时钟不准而导致cookie保持有效的话，也能保证他有效地退出。

 以上就是PHP安全-永久登录的内容，更多相关内容请关注PHP中文网（www.php.cn）！