PHP永久登录、记住我功能实现方法和安全做法


Posted in PHP onApril 27, 2015

永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。

据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。

不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。

永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。

第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。

为避免使用用户的密码,可以建立一个只供一次验证有效的标识:

<?php

$token = md5(uniqid(rand(), TRUE));

?>

你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。

由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。

mysql> DESCRIBE users;

+------------+------------------+------+-----+---------+-------+

| Field      | Type             | Null | Key | Default | Extra |

+------------+------------------+------+-----+---------+-------+

| username   | varchar(25)      |      | PRI |         |       |

| password   | varchar(32)      | YES  |     | NULL    |       |

| identifier | varchar(32)      | YES  | MUL | NULL    |       |

| token      | varchar(32)      | YES  |     | NULL    |       |

| timeout    | int(10) unsigned | YES  |     | NULL    |       |

+------------+------------------+------+-----+---------+-------+

通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
<?php
$salt = 'SHIFLETT';
$identifier = md5($salt . md5($username . $salt));

$token = md5(uniqid(rand(), TRUE));

$timeout = time() + 60 * 60 * 24 * 7;
setcookie('auth', "$identifier:$token", $timeout);
?>

当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
<?php
/* mysql_connect() */

/* mysql_select_db() */
$clean = array();

$mysql = array();
$now = time();

$salt = 'SHIFLETT';
list($identifier, $token) = explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))

{

  $clean['identifier'] = $identifier;

  $clean['token'] = $token;

}

else

{

  /* ... */

}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "SELECT username, token, timeout

        FROM   users

        WHERE  identifier = '{$mysql['identifier']}'";
if ($result = mysql_query($sql))

{

  if (mysql_num_rows($result))

  {

    $record = mysql_fetch_assoc($result);
    if ($clean['token'] != $record['token'])

    {

      /* Failed Login (wrong token) */

    }

    elseif ($now > $record['timeout'])

    {

      /* Failed Login (timeout) */

    }

    elseif ($clean['identifier'] !=

            md5($salt . md5($record['username'] . $salt)))

    {

      /* Failed Login (invalid identifier) */

    }

    else

    {

      /* Successful Login */

    }
  }

  else

  {

    /* Failed Login (invalid identifier) */

  }

}

else

{

  /* Error */

}
?>

你应该坚持从三个方面来限制永久登录cookie的使用。

1.Cookie需在一周内(或更少)过期
2.Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
3.在服务器端限定cookie在一周(或更少)时间内过期

如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。

另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。

最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:

<?php

setcookie('auth', 'DELETED!', time());

?>

上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
PHP 相关文章推荐
php session 错误
May 21 PHP
php 实现进制转换(二进制、八进制、十六进制)互相转换实现代码
Oct 22 PHP
PHP字符串函数系列之nl2br(),在字符串中的每个新行 (\n) 之前插入 HTML 换行符br
Nov 10 PHP
php获取CSS文件中图片地址并下载到本地的方法
Dec 02 PHP
分享php分页的功能模块
Jun 16 PHP
PHP实现简单搜歌的方法
Jul 28 PHP
Zend Framework入门教程之Zend_Config组件用法详解
Dec 09 PHP
PHP+MySQL实现消息队列的方法分析
May 09 PHP
PHP获取本周所有日期或者最近七天所有日期的方法
Jun 20 PHP
PHPExcel实现表格导出功能示例【带有多个工作sheet】
Jun 13 PHP
PHP优化之批量操作MySQL实例分析
Apr 23 PHP
PHP论坛实现积分系统的思路代码详解
Jun 01 PHP
php curl 获取https请求的2种方法
Apr 27 #PHP
PHP curl伪造IP地址和header信息代码实例
Apr 27 #PHP
JavaScript实现滚动栏效果的方法
Apr 27 #PHP
php curl 上传文件代码实例
Apr 27 #PHP
php把大写命名转换成下划线分割命名
Apr 27 #PHP
PHP加密解密字符串汇总
Apr 26 #PHP
php开发中的页面跳转方法总结
Apr 26 #PHP
You might like
PHP 简单数组排序实现代码
2009/08/05 PHP
分享8个最佳的代码片段在线测试网站
2013/06/29 PHP
PHP实践教程之过滤、验证、转义与密码详解
2017/07/24 PHP
WordPress伪静态规则设置代码实例
2020/12/10 PHP
jquery数据验证插件(自制,简单,练手)实例代码
2013/10/24 Javascript
jquery操作HTML5 的data-*的用法实例分享
2014/08/17 Javascript
ECMAScript中函数function类型
2015/06/03 Javascript
jQuery实现简洁的导航菜单效果
2015/11/23 Javascript
javascript bom是什么及bom和dom的区别
2015/11/26 Javascript
JavaScript实现清空(重置)文件类型INPUT元素值的方法
2016/11/17 Javascript
jQuery实现给input绑定回车事件的方法
2017/02/09 Javascript
nodeJS实现简单网页爬虫功能的实例(分享)
2017/06/08 NodeJs
JS实现字符串去重及数组去重的方法示例
2018/04/21 Javascript
vue.js实现带日期星期的数字时钟功能示例
2018/08/28 Javascript
layui table 列宽百分比显示的实现方法
2019/09/28 Javascript
jQuery实现简易聊天框
2020/02/08 jQuery
python里使用正则表达式的组嵌套实例详解
2017/10/24 Python
numpy.transpose对三维数组的转置方法
2018/04/17 Python
Python使用matplotlib实现基础绘图功能示例
2018/07/03 Python
python tornado使用流生成图片的例子
2019/11/18 Python
PYQT5开启多个线程和窗口,多线程与多窗口的交互实例
2019/12/13 Python
pycharm实现print输出保存到txt文件
2020/06/01 Python
浅谈html5 响应式布局
2014/12/24 HTML / CSS
印度尼西亚最完整和最大的在线药房网站:Farmaku.com
2019/11/23 全球购物
英国鲜花递送:Blossoming Gifts
2020/07/10 全球购物
Yahoo-PHP面试题1
2016/07/20 面试题
Python如何实现单例模式
2016/06/03 面试题
竞聘医务工作人员的自我评价分享
2013/11/04 职场文书
建筑公司文秘岗位职责
2013/11/29 职场文书
高中毕业生生活的自我评价
2013/12/08 职场文书
特色蛋糕店创业计划书
2014/01/28 职场文书
销售人员自我评价
2014/02/01 职场文书
大学生村官承诺书
2014/03/28 职场文书
毕业论文评语大全
2014/04/29 职场文书
企业安全标语
2014/06/07 职场文书
会计工作能力自我评价
2015/03/05 职场文书