PHP 登入系統:記住我(持久cookie)
簡介
實現「記住我」功能允許使用者即使在關閉瀏覽器後也能保持登入狀態。此功能增強了使用者便利性並改善了整體使用者體驗。在本文中,我們將深入研究一種在使用者瀏覽器中儲存和驗證 Cookie 的安全方法,以實現持久登入機制。
安全地儲存Cookie
安全地儲存儲存cookie,我們在資料庫中使用單獨的表:
記錄後處理在
成功登入並啟用「記住我」選項後:
- 產生一個12字元選擇器(例如,使用base64_encode(random_bytes(9)) )。
- 產生一個 33 位元組的驗證器(例如,使用random_bytes(33))。
使用以下值設定 cookie:
- 將選擇器、雜湊驗證器、使用者 ID 和過期日期儲存在auth_tokens 資料庫表。
重新驗證頁面加載時
重新驗證用戶身份:
方法詳細信息
-
抗碰撞性: 使用9 個位元組作為選擇器提供72 位元
-
假冒保護:在資料庫中儲存散列驗證器可以降低假冒風險。
-
定時攻擊對策:散列比較先前的驗證器值並將選擇器與驗證器分開以防止計時
-
資料庫安全: auth_tokens 表允許輕鬆刪除和過期過期令牌,維護資料庫完整性。
以上是如何使用 PHP 和 cookie 實現安全的「記住我」功能?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
