PHP永久登录、记住我功能实现方法和安全做法


Posted in PHP onApril 27, 2015

永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。

据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。

不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。

永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。

第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。

为避免使用用户的密码,可以建立一个只供一次验证有效的标识:

<?php

$token = md5(uniqid(rand(), TRUE));

?>

你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。

由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。

mysql> DESCRIBE users;

+------------+------------------+------+-----+---------+-------+

| Field      | Type             | Null | Key | Default | Extra |

+------------+------------------+------+-----+---------+-------+

| username   | varchar(25)      |      | PRI |         |       |

| password   | varchar(32)      | YES  |     | NULL    |       |

| identifier | varchar(32)      | YES  | MUL | NULL    |       |

| token      | varchar(32)      | YES  |     | NULL    |       |

| timeout    | int(10) unsigned | YES  |     | NULL    |       |

+------------+------------------+------+-----+---------+-------+

通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
<?php
$salt = 'SHIFLETT';
$identifier = md5($salt . md5($username . $salt));

$token = md5(uniqid(rand(), TRUE));

$timeout = time() + 60 * 60 * 24 * 7;
setcookie('auth', "$identifier:$token", $timeout);
?>

当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
<?php
/* mysql_connect() */

/* mysql_select_db() */
$clean = array();

$mysql = array();
$now = time();

$salt = 'SHIFLETT';
list($identifier, $token) = explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))

{

  $clean['identifier'] = $identifier;

  $clean['token'] = $token;

}

else

{

  /* ... */

}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "SELECT username, token, timeout

        FROM   users

        WHERE  identifier = '{$mysql['identifier']}'";
if ($result = mysql_query($sql))

{

  if (mysql_num_rows($result))

  {

    $record = mysql_fetch_assoc($result);
    if ($clean['token'] != $record['token'])

    {

      /* Failed Login (wrong token) */

    }

    elseif ($now > $record['timeout'])

    {

      /* Failed Login (timeout) */

    }

    elseif ($clean['identifier'] !=

            md5($salt . md5($record['username'] . $salt)))

    {

      /* Failed Login (invalid identifier) */

    }

    else

    {

      /* Successful Login */

    }
  }

  else

  {

    /* Failed Login (invalid identifier) */

  }

}

else

{

  /* Error */

}
?>

你应该坚持从三个方面来限制永久登录cookie的使用。

1.Cookie需在一周内(或更少)过期
2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
3.在服务器端限定cookie在一周(或更少)时间内过期

如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。

另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:

<?php

setcookie('auth', 'DELETED!', time());

?>

上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
PHP 相关文章推荐
比较discuz和ecshop的截取字符串函数php版
Sep 03 PHP
destoon调用自定义模板及样式的公告栏
Jun 21 PHP
ThinkPHP跳转页success及error模板实例教程
Jul 17 PHP
php将textarea数据提交到mysql出现很多空格的解决方法
Dec 19 PHP
Laravel 5.0 发布 新版本特性详解
Feb 10 PHP
php实现比较两个文件夹异同的方法
Jun 18 PHP
php htmlentities()函数的定义和用法
May 13 PHP
PHP操作Postgresql封装类与应用完整实例
Apr 24 PHP
PHP实现的AES双向加密解密功能示例【128位】
Sep 03 PHP
php实现登录页面的简单实例
Sep 29 PHP
PHP xpath提取网页数据内容代码解析
Jul 16 PHP
搭建PhpStorm+PhpStudy开发环境的超详细教程
Sep 17 PHP
php curl 获取https请求的2种方法
Apr 27 #PHP
PHP curl伪造IP地址和header信息代码实例
Apr 27 #PHP
JavaScript实现滚动栏效果的方法
Apr 27 #PHP
php curl 上传文件代码实例
Apr 27 #PHP
php把大写命名转换成下划线分割命名
Apr 27 #PHP
PHP加密解密字符串汇总
Apr 26 #PHP
php开发中的页面跳转方法总结
Apr 26 #PHP
You might like
php用户注册信息验证正则表达式
2015/11/12 PHP
JavaScript延迟加载
2021/03/09 Javascript
js下用gb2312编码解码实现方法
2009/12/31 Javascript
原生js和jquery中有关透明度设置的相关问题
2014/01/08 Javascript
Select标签下拉列表二级联动级联实例代码
2014/02/07 Javascript
jquery实现checkbox 全选/全不选的通用写法
2014/02/22 Javascript
JavaScript中的6种运算符总结
2014/10/16 Javascript
jQuery中parents()和parent()的区别分析
2014/10/28 Javascript
使用 js+正则表达式为关键词添加链接
2014/11/11 Javascript
jQuery事件绑定on()与弹窗实现代码
2016/04/28 Javascript
jquery实现网页定位导航
2016/08/23 Javascript
解决layer 动态加载select 失效的问题
2019/09/18 Javascript
关于vue表单提交防双/多击的例子
2019/10/31 Javascript
js实现翻牌小游戏
2020/07/31 Javascript
Vue 3.0中jsx语法的使用
2020/11/13 Javascript
用javascript实现倒计时效果
2021/02/09 Javascript
[01:32]DOTA2 2015国际邀请赛中国区预选赛第四日战报
2015/05/29 DOTA
[47:43]完美世界DOTA2联赛PWL S3 Magama vs GXR 第二场 12.19
2020/12/24 DOTA
pycharm 使用心得(二)设置字体大小
2014/06/05 Python
Python 3.x 新特性及10大变化
2015/06/12 Python
Python常用内置模块之xml模块(详解)
2017/05/23 Python
利用Opencv中Houghline方法实现直线检测
2018/02/11 Python
windows下python安装pip图文教程
2018/05/25 Python
python实现决策树分类
2018/08/30 Python
python 模拟贷款卡号生成规则过程解析
2019/08/30 Python
基于python实现FTP文件上传与下载操作(ftp&amp;sftp协议)
2020/04/01 Python
Django更新models数据库结构步骤
2020/04/01 Python
如何在sublime编辑器中安装python
2020/05/20 Python
使用Python获取爱奇艺电视剧弹幕数据的示例代码
2021/01/12 Python
纽约复古灵感的现代珠宝品牌:Lulu Frost
2018/03/03 全球购物
英语自荐信常用语句
2013/12/13 职场文书
社区居务公开实施方案
2014/03/27 职场文书
技术负责人岗位职责
2015/02/10 职场文书
大学毕业晚会开场白
2015/05/29 职场文书
新学期主题班会
2015/08/17 职场文书
Python 绘制多因子柱状图
2022/05/11 Python