永続ログインとは、ブラウザー セッション間で継続的に検証するためのメカニズムを指します。つまり、訪問の間にユーザー セッションが期限切れになったとしても、今日ログインしているユーザーは明日も引き続きログインします。永続的なログインが存在すると、認証メカニズムのセキュリティは低下しますが、使いやすさは向上します。ユーザーがアクセスするたびに認証するのが面倒な代わりに、ログインを記憶するオプションを提供します。
私が観察したところによると、最も一般的な欠陥のある永続ログイン スキームは、ユーザー名とパスワードを Cookie に保存するものです。これを実行したくなるのは当然です。ユーザーにユーザー名とパスワードの入力を求める代わりに、Cookie からそれらを読み取るだけで済みます。残りの検証プロセスは通常のログインとまったく同じであるため、このシナリオは単純です。
ただし、ユーザー名とパスワードを Cookie に保存する場合は、この機能をすぐにオフにして、このセクションの残りの部分を読んで、より安全なソリューションを実装するためのアイデアを見つけてください。また、認証情報が漏洩したため、今後この Cookie を使用するすべてのユーザーにパスワードの変更を要求する必要があります。
永久ログインには、認証 Cookie と呼ばれる永久ログイン Cookie が必要です。これは、Cookie が複数のセッションにわたって安定したデータを提供するために使用される唯一の標準メカニズムであるためです。 Cookie が永続的なアクセスを提供する場合、アプリケーションのセキュリティに重大なリスクが生じるため、Cookie に保存したデータが限られた期間のみ認証に使用できるようにする必要があります。
最初のステップは、キャプチャされた永続的なログイン Cookie によってもたらされるリスクを軽減する方法を考案することです。 Cookie のキャプチャは避けたいものですが、特にこのメカニズムにより、すべてが正常に動作している場合でも検証フォームの安全性が低下する可能性があるため、多層防御プロセスを使用することが最善です。この方法では、ユーザーのパスワードなど、永続的なログインを提供する情報に基づいて Cookie を生成することはできません。
ユーザーのパスワードの使用を避けるために、1 回限りの検証にのみ有効な ID を作成できます:
コードをコピーします コードは次のとおりです:
$token = md5(uniqid(rand(), TRUE));
?>
ユーザーのセッションに保存して特定のユーザーに関連付けることはできますが、これでは複数のセッションにわたってログイン状態を維持することはできません。これは大きな問題です。したがって、この ID を特定のユーザーに関連付けるには、別の方法を使用する必要があります。
ユーザー名はパスワードよりも機密性が低いため、Cookie に保存することができます。これにより、検証プログラムがどのユーザーの ID が提供されたかを確認するのに役立ちます。ただし、より良いアプローチは、推測や発見が難しい 2 番目の ID を使用することです。ユーザー名とパスワードを保存するデータ テーブルに、2 番目の ID (識別子)、永続的なログイン ID (トークン)、および永続的なログイン タイムアウト (タイムアウト) の 3 つのフィールドを追加することを検討してください。
コードをコピーします コードは次のとおりです:
mysql> ユーザーについて説明します;
+-----------+---------------------+-----+-----+---- ----------+------+
| フィールド タイプ | デフォルト |
+-----------+---------------------+-----+-----+---- ----------+------+
| ユーザー名 |
| パスワード (32) |
| varchar(32) | はい |
| トークン (32) |
| タイムアウト (10) はい |
+-----------+---------------------+-----+-----+---- ----------+------+
セカンダリ ID と永続的なログイン ID を生成して保存すると、ユーザー認証情報を含まない Cookie を作成できます。
コードをコピーします
コードは次のとおりです:
$salt = 'シフレット';
$identifier = md5($salt . md5($username . $salt));
$token = md5(uniqid(rand(), TRUE));
setcookie('auth', "$identifier:$token", $timeout);
?>
コードをコピーします
コードは次のとおりです:
/* mysql_connect() */
/* mysql_select_db() */
$clean = array();
$now = time();
$salt = 'シフレット';
list($identifier, $token) =explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))
{
$clean['識別子'] = $識別子;
$clean['token'] = $token;
}
それ以外
{
/* ... */
}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "ユーザー名、トークン、タイムアウトを選択します
ユーザーから
WHERE 識別子 = '{$mysql['識別子']}'";
if ($result = mysql_query($sql))
{
if (mysql_num_rows($result))
{
$record = mysql_fetch_assoc($result);
if ($clean['token'] != $record['token'])
{
/* ログイン失敗 (トークンが間違っています) */
}
elseif ($now > $record['timeout'])
{
/* ログイン失敗 (タイムアウト) */
}
elseif ($clean['識別子'] !=
md5($salt . md5($record['username'] . $salt)))
{
/* ログイン失敗 (無効な識別子) */
}
それ以外
{
/* ログイン成功 */
}
}
それ以外
{
/* ログイン失敗 (無効な識別子) */
}
}
それ以外
{
/* エラー */
}
?>
このブロックは、永久登録 Cookie の使用を 3 つの側面から制限します。
2.Cookie 最高のみ一回の認証に使用できます (一回の認証に成功した後、即時に削除または再生成されます)
3. サービス端末での Cookie は 1 週間 (またはそれ以上) 期間内に限定されます
最後に、必要な登録システムのユーザーは确实登録されており、これには永久削除登录cookieが含まれています:
复正代
代価如下:
setcookie('auth', 'DELETED!', time());
?>
上の例では、Cookie は使用されない値で設定されており、その期間は即時に設定されます。これにより、ユーザーの時間が不規則であるために Cookie が有効に保持され、また有効に終了することもできます。
http://www.bkjia.com/PHPjc/990547.html