Heim > Artikel > Backend-Entwicklung > PHP-Login implementiert die Funktion „An mich erinnern“.
PHP-Login implementiert die Funktion „An mich erinnern“.
- *文Original
- 2017-12-27 09:36:283927Durchsuche
Wie implementiert man die Funktion „An mich erinnern“ in der PHP-Anmeldung? In diesem Artikel werden hauptsächlich die Implementierungsmethoden und Sicherheitspraktiken der permanenten Anmeldung und der Erinnerungsfunktion von PHP vorgestellt. Dieser Artikel konzentriert sich auf die Verwendung der Datenbank, um sicherere permanente Anmeldungs- und Erinnerungsfunktionen zu implementieren. Ich hoffe, es hilft allen.
Persistente Anmeldung bezieht sich auf einen Mechanismus zur kontinuierlichen Authentifizierung zwischen Browsersitzungen. Mit anderen Worten: Ein Benutzer, der heute angemeldet ist, wird auch morgen noch angemeldet sein, selbst wenn Benutzersitzungen zwischen Besuchen ablaufen. Das Vorhandensein dauerhafter Anmeldungen verringert die Sicherheit Ihres Authentifizierungsmechanismus, erhöht jedoch die Benutzerfreundlichkeit. Bieten Sie Benutzern die Möglichkeit, sich die Anmeldung zu merken, anstatt sich bei jedem Besuch mühsam authentifizieren zu müssen.
Nach meinen Beobachtungen besteht das häufigste fehlerhafte permanente Anmeldeschema darin, den Benutzernamen und das Passwort in einem Cookie zu speichern. Die Versuchung dazu ist verständlich – anstatt den Benutzer nach Benutzername und Passwort zu fragen, können Sie diese einfach aus dem Cookie ablesen. Der Rest des Verifizierungsprozesses ist genau der gleiche wie bei einer normalen Anmeldung, daher ist dieses Szenario einfach.
Wenn Sie jedoch Ihren Benutzernamen und Ihr Passwort in Cookies speichern, deaktivieren Sie diese Funktion bitte sofort und lesen Sie den Rest dieses Abschnitts, um einige Ideen für die Implementierung einer sichereren Lösung zu finden. Sie müssen außerdem alle Benutzer, die dieses Cookie verwenden, dazu auffordern, ihre Passwörter in Zukunft zu ändern, da ihre Authentifizierungsinformationen offengelegt wurden.
Für die dauerhafte Anmeldung ist ein permanentes Anmelde-Cookie erforderlich, das oft als Authentifizierungs-Cookie bezeichnet wird, da Cookies der einzige Standardmechanismus sind, der verwendet wird, um stabile Daten über mehrere Sitzungen hinweg bereitzustellen. Wenn das Cookie einen dauerhaften Zugriff ermöglicht, stellt es ein ernstes Risiko für die Sicherheit Ihrer Anwendung dar. Sie müssen daher sicherstellen, dass die von Ihnen im Cookie gespeicherten Daten nur für einen begrenzten Zeitraum zur Authentifizierung verwendet werden können.
Der erste Schritt besteht darin, eine Möglichkeit zu finden, das Risiko zu mindern, das von erfassten dauerhaften Anmeldecookies ausgeht. Während Sie die Erfassung von Cookies vermeiden möchten, ist ein tiefgreifender Verteidigungsprozess am besten, insbesondere da dieser Mechanismus Ihr Validierungsformular weniger sicher machen kann, selbst wenn alles einwandfrei funktioniert. Auf diese Weise kann das Cookie nicht auf der Grundlage von Informationen generiert werden, die eine dauerhafte Anmeldung ermöglichen, wie beispielsweise dem Passwort des Benutzers.
Um die Verwendung des Passworts des Benutzers zu vermeiden, können Sie eine Identität erstellen, die nur für eine einmalige Überprüfung gültig ist:
<?php $token = md5(uniqid(rand(), TRUE)); ?>
Sie können sie zum Vergleichen in der Sitzung des Benutzers speichern Wenn Sie mit einem bestimmten Benutzer verknüpft sind, können Sie nicht über mehrere Sitzungen hinweg angemeldet bleiben, was eine wichtige Voraussetzung ist. Daher müssen Sie eine andere Methode verwenden, um diese Identität einem bestimmten Benutzer zuzuordnen.
Da der Benutzername weniger vertraulich ist als das Passwort, können Sie ihn in einem Cookie speichern, was dem Authentifikator helfen kann, die Identität des Benutzers zu bestätigen. Ein besserer Ansatz besteht jedoch darin, eine sekundäre Identität zu verwenden, die schwer zu erraten und zu entdecken ist. Erwägen Sie das Hinzufügen von drei Feldern zur Datentabelle, in der Benutzernamen und Passwörter gespeichert werden: eine zweite Identität (Identifikator), eine permanente Anmeldeidentifikation (Token) und ein permanentes Anmelde-Timeout (Timeout).
mysql> DESCRIBE users; +------------+------------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +------------+------------------+------+-----+---------+-------+ | username | varchar(25) | | PRI | | | | password | varchar(32) | YES | | NULL | | | identifier| varchar(32) | YES | MUL | NULL | | | token | varchar(32) | YES | | NULL | | | timeout | int(10) unsigned | YES | | NULL | | +------------+------------------+------+-----+---------+-------+
Durch die Generierung und Speicherung einer sekundären Identität und einer permanenten Anmelde-ID können Sie ein Cookie erstellen, das keine Benutzerauthentifizierungsinformationen enthält.
<?php $salt = 'SHIFLETT'; $identifier = md5($salt . md5($username . $salt)); $token = md5(uniqid(rand(), TRUE)); $timeout = time() + 60 * 60 * 24 * 7; setcookie('auth', "$identifier:$token", $timeout); ?>
Wenn ein Benutzer ein permanentes Login-Cookie verwendet, können Sie prüfen, ob es mehrere Kriterien erfüllt:
<?php
/* mysql_connect() */
/* mysql_select_db() */
$clean = array();
$mysql = array();
$now = time();
$salt = 'SHIFLETT';
list($identifier, $token) = explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))
{
$clean['identifier'] = $identifier;
$clean['token'] = $token;
}
else
{
/* ... */
}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "SELECT username, token, timeout
FROM users
WHERE identifier = '{$mysql['identifier']}'";
if ($result = mysql_query($sql))
{
if (mysql_num_rows($result))
{
$record = mysql_fetch_assoc($result);
if ($clean['token'] != $record['token'])
{
/* Failed Login (wrong token) */
}
elseif ($now > $record['timeout'])
{
/* Failed Login (timeout) */
}
elseif ($clean['identifier'] !=
md5($salt . md5($record['username'] . $salt)))
{
/* Failed Login (invalid identifier) */
}
else
{
/* Successful Login */
}
}
else
{
/* Failed Login (invalid identifier) */
}
}
else
{
/* Error */
}
?>
Sie sollten auf einer Einschränkung bestehen Die Verwendung permanenter Anmeldecookies erfolgt auf drei Arten.
1. Cookies müssen innerhalb einer Woche (oder weniger) ablaufen
2. Cookies sollten vorzugsweise nur für eine Überprüfung verwendet werden (löschen oder neu generieren nach einer erfolgreichen Überprüfung)
3 Begrenzen Sie das Cookie innerhalb einer Woche (oder weniger) auf der Serverseite ablaufen
Wenn Sie möchten, dass der Benutzer auf unbestimmte Zeit in Erinnerung bleibt, dann solange der Benutzer Ihre Anwendung häufiger besucht als die Ablaufzeit. Wenn sie groß ist, einfach Generieren Sie die Kennung neu und setzen Sie nach jeder Überprüfung ein neues Cookie.
Ein weiteres nützliches Prinzip besteht darin, von Benutzern die Eingabe eines Passworts zu verlangen, bevor sie vertrauliche Vorgänge ausführen. Sie sollten dauerhaft angemeldeten Benutzern nur den Zugriff auf Funktionen Ihrer App ermöglichen, die nicht besonders sensibel sind. Es ist ein unersetzlicher Schritt, Benutzer zu bitten, vor der Durchführung einiger sensibler Vorgänge eine manuelle Überprüfung durchzuführen.
Abschließend müssen Sie bestätigen, dass der Benutzer, der sich vom System abgemeldet hat, tatsächlich abgemeldet ist. Dazu gehört auch das Löschen des permanenten Anmeldecookies:
<?php setcookie('auth', 'DELETED!', time()); ?>
In Im obigen Beispiel wird das Cookie mit nicht verwendeten Werten gefüllt und so eingestellt, dass es sofort abläuft. Selbst wenn die Uhr eines Benutzers ungenau ist und das Cookie gültig bleibt, kann er auf diese Weise wirksam abgemeldet werden.
Verwandte Empfehlungen:
PHP-Fortgeschrittenen-Tutorial: PHP-Cookies
PHP-Cookies werden häufig zur Identifizierung von Benutzern verwendet
Beispiele, die die Verwendung und Überprüfung von PHP-Token zeigen
Das obige ist der detaillierte Inhalt vonPHP-Login implementiert die Funktion „An mich erinnern“.. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!