PHP 로그인에서 기억 기능을 어떻게 구현하나요? 이 글에서는 주로 PHP 영구 로그인 및 기억하기 기능의 구현 방법 및 보안 관행을 소개합니다. 이 글에서는 데이터베이스를 사용하여 보다 안전한 영구 로그인 및 기억하기 기능을 구현하는 데 중점을 둡니다. 그것이 모두에게 도움이 되기를 바랍니다.
영구 로그인은 브라우저 세션 간 지속적인 인증을 위한 메커니즘을 의미합니다. 즉, 오늘 로그인한 사용자는 방문 사이에 사용자 세션이 만료되더라도 내일에도 계속 로그인됩니다. 영구 로그인이 있으면 인증 메커니즘의 보안이 저하되지만 유용성은 향상됩니다. 번거로운 사용자가 방문할 때마다 인증하는 대신 로그인 정보를 기억하는 옵션을 제공하세요.
내가 관찰한 바에 따르면 가장 일반적인 결함이 있는 영구 로그인 방식은 사용자 이름과 비밀번호를 쿠키에 저장하는 것입니다. 사용자에게 사용자 이름과 비밀번호를 입력하라는 메시지를 표시하는 대신 쿠키에서 간단히 읽을 수 있습니다. 나머지 확인 과정은 일반 로그인과 동일하므로 이 시나리오는 간단합니다.
그러나 사용자 이름과 비밀번호를 쿠키에 저장하는 경우 즉시 이 기능을 끄고 이 섹션의 나머지 부분을 읽고 보다 안전한 솔루션을 구현하기 위한 아이디어를 찾으십시오. 또한 이 쿠키를 사용하는 모든 사용자에게 인증 정보가 노출되었으므로 향후 비밀번호를 변경하도록 요구해야 합니다.
영구 로그인에는 인증 쿠키라고도 불리는 영구 로그인 쿠키가 필요합니다. 쿠키는 여러 세션에 걸쳐 안정적인 데이터를 제공하는 데 사용되는 유일한 표준 메커니즘이기 때문입니다. 쿠키가 영구적인 액세스를 제공하는 경우 애플리케이션의 보안에 심각한 위험을 초래하므로 쿠키에 저장한 데이터가 제한된 기간 동안만 인증에만 사용될 수 있는지 확인해야 합니다.
첫 번째 단계는 캡처된 영구 로그인 쿠키로 인해 발생하는 위험을 완화하는 방법을 고안하는 것입니다. 쿠키 캡처는 피하고 싶은 것이지만 심층 방어 프로세스를 갖추는 것이 가장 좋습니다. 특히 이 메커니즘은 모든 것이 제대로 작동하는 경우에도 유효성 검사 양식의 보안을 약화시킬 수 있기 때문입니다. 이러한 방식으로 사용자의 비밀번호와 같이 영구 로그인을 제공하는 정보를 기반으로 쿠키를 생성할 수 없습니다.
사용자의 비밀번호를 사용하지 않으려면 일회성 확인에만 유효한 ID를 생성할 수 있습니다.
<?php $token = md5(uniqid(rand(), TRUE)); ?>
이를 사용자 세션에 저장하여 특정 사용자와 연결할 수 있지만 이는 도움이 되지 않습니다. 여러 세션에 걸쳐 로그인 상태를 유지하는 것은 중요한 전제 조건입니다. 따라서 이 ID를 특정 사용자와 연결하려면 다른 방법을 사용해야 합니다.
사용자 이름은 비밀번호보다 덜 민감하므로 이를 쿠키에 저장할 수 있습니다. 이를 통해 확인 프로그램에서 어떤 사용자의 신원이 제공되었는지 확인하는 데 도움이 될 수 있습니다. 그러나 더 나은 접근 방식은 추측하고 발견하기 어려운 보조 ID를 사용하는 것입니다. 사용자 이름과 비밀번호를 저장하는 데이터 테이블에 두 번째 ID(식별자), 영구 로그인 식별(토큰) 및 영구 로그인 시간 초과(시간 초과)라는 세 가지 필드를 추가하는 것을 고려하십시오.
mysql> DESCRIBE users; +------------+------------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +------------+------------------+------+-----+---------+-------+ | username | varchar(25) | | PRI | | | | password | varchar(32) | YES | | NULL | | | identifier| varchar(32) | YES | MUL | NULL | | | token | varchar(32) | YES | | NULL | | | timeout | int(10) unsigned | YES | | NULL | | +------------+------------------+------+-----+---------+-------+
2차 ID와 영구 로그인 ID를 생성하고 저장함으로써, 어떠한 사용자 인증 정보도 포함하지 않는 쿠키를 생성할 수 있습니다.
<?php $salt = 'SHIFLETT'; $identifier = md5($salt . md5($username . $salt)); $token = md5(uniqid(rand(), TRUE)); $timeout = time() + 60 * 60 * 24 * 7; setcookie('auth', "$identifier:$token", $timeout); ?>
사용자가 영구 로그인 쿠키를 사용할 때 여러 기준을 충족하는지 확인할 수 있습니다.
<?php /* mysql_connect() */ /* mysql_select_db() */ $clean = array(); $mysql = array(); $now = time(); $salt = 'SHIFLETT'; list($identifier, $token) = explode(':', $_COOKIE['auth']); if (ctype_alnum($identifier) && ctype_alnum($token)) { $clean['identifier'] = $identifier; $clean['token'] = $token; } else { /* ... */ } $mysql['identifier'] = mysql_real_escape_string($clean['identifier']); $sql = "SELECT username, token, timeout FROM users WHERE identifier = '{$mysql['identifier']}'"; if ($result = mysql_query($sql)) { if (mysql_num_rows($result)) { $record = mysql_fetch_assoc($result); if ($clean['token'] != $record['token']) { /* Failed Login (wrong token) */ } elseif ($now > $record['timeout']) { /* Failed Login (timeout) */ } elseif ($clean['identifier'] != md5($salt . md5($record['username'] . $salt))) { /* Failed Login (invalid identifier) */ } else { /* Successful Login */ } } else { /* Failed Login (invalid identifier) */ } } else { /* Error */ } ?>
영구 로그인 쿠키 사용을 세 가지 측면에서 제한해야 합니다.
1.쿠키는 1주일(또는 그 이하) 이내에 만료되어야 합니다.
2.쿠키는 한 번의 확인에만 사용해야 합니다(확인 성공 후 삭제 또는 재생성)
3. 서버 측 쿠키는 1주일(또는 그 이하)로 제한됩니다. )는
내에 만료됩니다. 사용자가 만료 시간보다 더 자주 앱을 방문하는 한 각 인증 후에 간단히 다시 생성하세요. 새 쿠키를 식별하고 설정하세요.
또 다른 유용한 원칙은 민감한 작업을 수행하기 전에 사용자에게 비밀번호를 제공하도록 요구하는 것입니다. 영구적으로 로그인한 사용자만 특별히 민감하지 않은 앱 기능에 액세스하도록 허용해야 합니다. 일부 민감한 작업을 수행하기 전에 사용자에게 수동으로 확인하도록 요청하는 것은 대체할 수 없는 단계입니다.
마지막으로 시스템에서 로그아웃한 사용자가 실제로 로그아웃되었는지 확인해야 하며 여기에는 영구 로그인 쿠키 삭제도 포함됩니다.
<?php setcookie('auth', 'DELETED!', time()); ?>
위 예에서 쿠키는 쓸모없는 값으로 채워져 있었고 즉시 만료되도록 설정되었습니다. 이렇게 하면 사용자의 시계가 부정확하고 쿠키가 유효한 경우에도 해당 사용자는 효과적으로 로그아웃됩니다. H 관련 권장 사항: pPhp 고급 튜토리얼: PHP 쿠키
위 내용은 PHP 로그인은 나를 기억하는 기능을 구현합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!