PHP永久登录、记住我功能实现方法和安全做法


Posted in PHP onApril 27, 2015

永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。

据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。

不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。

永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。

第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。

为避免使用用户的密码,可以建立一个只供一次验证有效的标识:

<?php

$token = md5(uniqid(rand(), TRUE));

?>

你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。

由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。

mysql> DESCRIBE users;

+------------+------------------+------+-----+---------+-------+

| Field      | Type             | Null | Key | Default | Extra |

+------------+------------------+------+-----+---------+-------+

| username   | varchar(25)      |      | PRI |         |       |

| password   | varchar(32)      | YES  |     | NULL    |       |

| identifier | varchar(32)      | YES  | MUL | NULL    |       |

| token      | varchar(32)      | YES  |     | NULL    |       |

| timeout    | int(10) unsigned | YES  |     | NULL    |       |

+------------+------------------+------+-----+---------+-------+

通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
<?php
$salt = 'SHIFLETT';
$identifier = md5($salt . md5($username . $salt));

$token = md5(uniqid(rand(), TRUE));

$timeout = time() + 60 * 60 * 24 * 7;
setcookie('auth', "$identifier:$token", $timeout);
?>

当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
<?php
/* mysql_connect() */

/* mysql_select_db() */
$clean = array();

$mysql = array();
$now = time();

$salt = 'SHIFLETT';
list($identifier, $token) = explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))

{

  $clean['identifier'] = $identifier;

  $clean['token'] = $token;

}

else

{

  /* ... */

}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "SELECT username, token, timeout

        FROM   users

        WHERE  identifier = '{$mysql['identifier']}'";
if ($result = mysql_query($sql))

{

  if (mysql_num_rows($result))

  {

    $record = mysql_fetch_assoc($result);
    if ($clean['token'] != $record['token'])

    {

      /* Failed Login (wrong token) */

    }

    elseif ($now > $record['timeout'])

    {

      /* Failed Login (timeout) */

    }

    elseif ($clean['identifier'] !=

            md5($salt . md5($record['username'] . $salt)))

    {

      /* Failed Login (invalid identifier) */

    }

    else

    {

      /* Successful Login */

    }
  }

  else

  {

    /* Failed Login (invalid identifier) */

  }

}

else

{

  /* Error */

}
?>

你应该坚持从三个方面来限制永久登录cookie的使用。

1.Cookie需在一周内(或更少)过期
2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
3.在服务器端限定cookie在一周(或更少)时间内过期

如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。

另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:

<?php

setcookie('auth', 'DELETED!', time());

?>

上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
PHP 相关文章推荐
新版PHP将向Java靠拢
Oct 09 PHP
php+dbfile开发小型留言本
Oct 09 PHP
vBulletin HACK----关于排版的两个HACK
Oct 09 PHP
mysql 中InnoDB和MyISAM的区别分析小结
Apr 15 PHP
cmd下运行php脚本
Nov 25 PHP
处理(php-cgi.exe - FastCGI 进程超过了配置的请求超时时限)的问题
Jul 03 PHP
PHP获取客户端真实IP地址的5种情况分析和实现代码
Jul 08 PHP
CI映射(加载)数据到view层的方法
Mar 28 PHP
PHP处理Ajax请求与Ajax跨域问题
Feb 13 PHP
PHP5.0~5.6 各版本兼容性cURL文件上传功能实例分析
May 11 PHP
深入研究PHP中的preg_replace和代码执行
Aug 15 PHP
php实现登录页面的简单实例
Sep 29 PHP
php curl 获取https请求的2种方法
Apr 27 #PHP
PHP curl伪造IP地址和header信息代码实例
Apr 27 #PHP
JavaScript实现滚动栏效果的方法
Apr 27 #PHP
php curl 上传文件代码实例
Apr 27 #PHP
php把大写命名转换成下划线分割命名
Apr 27 #PHP
PHP加密解密字符串汇总
Apr 26 #PHP
php开发中的页面跳转方法总结
Apr 26 #PHP
You might like
PHP 读取大文件的X行到Y行内容的实现代码
2013/06/24 PHP
php伪静态之APACHE篇
2014/06/02 PHP
php中使用array_filter()函数过滤空数组的实现代码
2014/08/19 PHP
PHP多文件上传实例
2015/07/09 PHP
ThinkPHP删除栏目(实现批量删除栏目)
2017/06/21 PHP
php readfile()修改文件上传大小设置
2017/08/11 PHP
Ecshop 后台添加新功能栏目及管理权限设置教程
2017/11/21 PHP
使用PHP访问RabbitMQ消息队列的方法示例
2018/06/06 PHP
jQuery 工具函数学习资料
2010/04/29 Javascript
jquery isType() 类型判断代码
2011/02/14 Javascript
用IE重起计算机或者关机的示例代码
2014/03/10 Javascript
react-router实现跳转传值的方法示例
2017/05/27 Javascript
js时间戳与日期格式之间相互转换
2017/12/11 Javascript
详解用vue2.x版本+adminLTE开源框架搭建后台应用模版
2019/03/15 Javascript
JS获取动态添加元素的方法详解
2019/07/31 Javascript
python使用PyGame播放Midi和Mp3文件的方法
2015/04/24 Python
python类和函数中使用静态变量的方法
2015/05/09 Python
centos 安装python3.6环境并配置虚拟环境的详细教程
2018/02/22 Python
python实现自动获取IP并发送到邮箱
2018/12/26 Python
在python带权重的列表中随机取值的方法
2019/01/23 Python
Django组件cookie与session的具体使用
2019/06/05 Python
对Python函数设计规范详解
2019/07/19 Python
Django ModelForm组件使用方法详解
2019/07/23 Python
python的pstuil模块使用方法总结
2019/07/26 Python
解决pytorch DataLoader num_workers出现的问题
2020/01/14 Python
Pycharm2020.1安装中文语言插件的详细教程(不需要汉化)
2020/08/07 Python
用HTML5实现鼠标滚轮事件放大缩小图片的功能
2015/06/25 HTML / CSS
Columbia美国官网:美国著名的户外服装品牌
2016/11/24 全球购物
水上运动奥特莱斯:Wasterports Outlet
2018/08/08 全球购物
介绍一下代理模式(Proxy)
2014/10/17 面试题
什么是三层交换,说说和路由的区别在那里
2014/09/01 面试题
毕业生个人的自我评价优秀范文
2013/10/03 职场文书
物流毕业生个人的自我评价
2014/02/13 职场文书
爱心捐赠活动简讯
2015/07/20 职场文书
详解CSS不受控制的position fixed
2021/05/25 HTML / CSS
MySQL 那些常见的错误设计规范,你都知道吗
2021/07/16 MySQL