PHP 永続ログイン、Remember me 機能の実装方法と安全対策_PHP チュートリアル

PHP永久ログイン、Remember me関数の実装方法と安全対策

PHP永久ログイン、Remember me関数の実装方法と安全対策

この記事では主に、PHP の永続ログインと覚えておいてください機能の実装方法とセキュリティの実践について紹介します。この記事は、より安全な永続ログインと覚えておいてください機能を実装するためのデータベースの使用に焦点を当てています。

永続ログインとは、ブラウザセッション間で継続的に認証を行うメカニズムを指します。つまり、訪問の間にユーザー セッションが期限切れになったとしても、今日ログインしているユーザーは明日も引き続きログインします。永続的なログインが存在すると、認証メカニズムのセキュリティは低下しますが、使いやすさは向上します。ユーザーがアクセスするたびに認証するのが面倒な代わりに、ログインを記憶するオプションを提供します。

私が観察したところによると、最も一般的な欠陥のある永続ログイン スキームは、ユーザー名とパスワードを Cookie に保存するものです。これを実行したくなるのは当然です。ユーザーにユーザー名とパスワードの入力を求める代わりに、Cookie からそれらを読み取るだけで済みます。残りの検証プロセスは通常のログインとまったく同じであるため、このシナリオは単純です。

ただし、ユーザー名とパスワードを Cookie に保存する場合は、この機能をすぐに無効にして、このセクションの残りの部分を読んで、より安全なソリューションを実装するためのアイデアを見つけてください。また、認証情報が漏洩したため、今後この Cookie を使用するすべてのユーザーにパスワードの変更を要求する必要があります。

永久ログインには、認証 Cookie と呼ばれる永久ログイン Cookie が必要です。これは、Cookie が複数のセッションにわたって安定したデータを提供するために使用される唯一の標準メカニズムであるためです。 Cookie が永続的なアクセスを提供する場合、アプリケーションのセキュリティに重大なリスクが生じるため、Cookie に保存したデータが限られた期間のみ認証に使用できるようにする必要があります。

最初のステップは、キャプチャされた永続的なログイン Cookie によってもたらされるリスクを軽減する方法を考案することです。 Cookie のキャプチャは避けたいものですが、特にこのメカニズムにより、すべてが正常に動作している場合でも検証フォームの安全性が低下する可能性があるため、多層防御プロセスを使用することが最善です。この方法では、ユーザーのパスワードなど、永続的なログインを提供する情報に基づいて Cookie を生成することはできません。

ユーザーのパスワードの使用を避けるために、1 回限りの検証にのみ有効な ID を作成できます:

コードは次のとおりです:

$token = md5(uniqid(rand(), TRUE));

?>

ユーザーのセッションに保存して特定のユーザーに関連付けることはできますが、これは複数のセッションにわたってログイン状態を維持するのに役立ちません。これは大きな問題です。したがって、この ID を特定のユーザーに関連付けるには、別の方法を使用する必要があります。

ユーザー名はパスワードよりも機密性が低いため、Cookie に保存できます。これにより、検証プログラムがどのユーザー ID が提供されたかを確認するのに役立ちます。ただし、より良いアプローチは、推測や発見が難しい 2 番目の ID を使用することです。ユーザー名とパスワードを保存するデータ テーブルに、2 番目の ID (識別子)、永続的なログイン ID (トークン)、および永続的なログイン タイムアウト (タイムアウト) の 3 つのフィールドを追加することを検討してください。

コードは以下の通りです:

mysql> ユーザーを説明する;

+-----------+---------------------+------+-----+--- ------+------+

フィールド タイプ | デフォルト |

+-----------+---------------------+------+-----+--- ------+------+

| varchar(25) |

| varchar(32) | はい |

| varchar(32) |

| varchar(32) | | タイムアウト |

|

+-----------+---------------------+------+-----+--- ------+------+

セカンダリ ID と永続的なログイン ID を生成して保存することで、ユーザー認証情報を含まない Cookie を作成できます。

コードは次のとおりです:

$salt = 'シフレット';

$identifier = md5($salt . md5($username . $salt));

$token = md5(uniqid(rand(), TRUE));

$timeout = time() + 60 * 60 * 24 * 7;

Setcookie('auth', "$identifier:$token", $timeout);

?>

ユーザーが永続ログイン Cookie を使用する場合、それがいくつかの基準を満たしているかどうかを確認できます:

コードは以下の通りです:

/* mysql_connect() */

/* mysql_select_db() */

$clean = array();

$mysql = array();

$now = time();

$salt = 'シフレット';

list($identifier, $token) =explode(':', $_COOKIE['auth']);

if (ctype_alnum($identifier) && ctype_alnum($token))

{

$clean['識別子'] = $識別子;

$clean['token'] = $token;

}

その他

{

/* ... */

}

$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);

$sql = "ユーザー名、トークン、タイムアウトを選択します

ユーザーから

WHERE 識別子 = '{$mysql['識別子']}'";

if ($result = mysql_query($sql))

{

if (mysql_num_rows($result))

{

$record = mysql_fetch_assoc($result);

if ($clean['token'] != $record['token'])

{

/* ログイン失敗 (トークンが間違っています) */

}

elseif ($now > $record['timeout'])

{

/* ログイン失敗（タイムアウト） */

}

elseif ($clean['identifier'] !=

md5($salt . md5($record['username'] . $salt)))

{

/* ログイン失敗 (無効な識別子) */

}

その他

{

/* ログイン成功 */

}

}

その他

{

/* ログイン失敗 (無効な識別子) */

}

}

その他

{

/* エラー */

}

?>

このブロックは、永久登録 Cookie の使用を 3 つの側面から制限します。

1.Cookieは一週間以内(またはそれ以上)の期間に必要です

2.Cookie最高好只能使用一次验证(一次成功验证後即删除又は再生成)

3.サービス端末限定Cookieは一週間(またはそれ以上)期間内に

もしユーザーが無制限に被承認されている場合、そのユーザーの使用頻度が一定期間よりも大きい場合、毎回の承認後に毎回承認を再生成し、新しい Cookie を設定します。すぐにできます。

もう一つの有用な原理は、ユーザーが敏感な操作を実行する前にユーザーがパスワードを提供する必要があるということです。永久登録のみが可能であり、ユーザーが一時的に使用されるアプリケーションでは特に敏感な機能ではありません。のステップ。

最後に、你必要确认登出システム统の用户は确实登了，これには删除永久登录クッキーが含まれます：

复制代码代码如下:

　　

setcookie('auth', 'DELETED!', time());

?>

上の例では、Cookie は使用されない値で埋められ、即時実行されるように設定されています。このようにして、1 人のユーザーの時間が不規則であるために Cookie が有効なままである場合でも、有効に退出することができます。

http://www.bkjia.com/PHPjc/990992.html

www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/990992.html技術記事 PHP永久登录、记住我機能实现方法と安全做法 PHP永久登录、记住我機能实现方法と安全做法这篇文章主要介绍了PHP永久登录、记住我機能...