PHP에서 로그인 상태를 유지하는 방법 보안에 대해 자세히 이야기해 보겠습니다.

제 웹사이트는 현재 세션을 사용하고 있는데, 브라우저를 닫자마자 로그인 상태가 사라져서 매우 불편합니다.
[로그인 유지] 기능을 사용하는 방법과 쿠키를 최대한 활용하는 방법. 보안. 온라인에는 구체적인 해결책이 없습니다. 개발 경험이 있는 사람이 조언을 해주기를 바랍니다.

답글 내용:

제 웹사이트는 현재 세션을 사용하고 있는데, 브라우저를 닫자마자 로그인 상태가 사라져서 매우 불편합니다.
[로그인 유지] 기능을 사용하는 방법과 쿠키를 최대한 활용하는 방법. 보안. 온라인에는 구체적인 해결책이 없습니다. 개발 경험이 있는 사람이 조언을 해주기를 바랍니다.

PHP 세션도 쿠키를 사용하여 구현된다는 점에 유의하세요. 브라우저에 저장된 쿠키 이름은 기본적으로 PHPSESSID입니다.
이 세션 쿠키의 만료 시간도 설정할 수 있습니다. ~ 3600초:
session_set_cookie_params(3600);
브라우저를 닫았다가 한 시간 이내에 다시 열어도 쿠키는 계속 유효합니다.

PHP 세션은 기본적으로 PHPSESSID별 세션 데이터를 저장하는 파일입니다.
즉, 서로 다른 PHPSESSID의 세션 데이터는 공유되지 않습니다.
예를 들어 PHP 세션을 사용하여 쇼핑을 구현합니다. 장바구니 또는 영상보기 녹화 기능의 경우
세션 파일에 장바구니 데이터를 저장하시면, 다른 기기나 브라우저에서 로그인하신 후에는 장바구니 데이터를 보실 수 없습니다.
, 장바구니 데이터를 저장해야 합니다. 데이터는 데이터베이스에 저장됩니다.

데이터베이스를 기반으로 맞춤형 쿠키 세션 메커니즘을 구현하는 방법에 대해 이야기해 보겠습니다.

쿠키는 사용자 ID(일반 텍스트)와 사용자의 솔트 값(해시)을 저장합니다.
높은 보안이 필요한 경우 MCRYPT_BLOWFISH를 사용하여 전체 쿠키 콘텐츠를 암호화할 수도 있습니다.
이 쿠키에는 두 가지가 모두 필요합니다. 사용자를 인증할 수 있어야 하지만 위조되어서는 안 됩니다.
사용자의 솔트 값은 사용자 등록 시 비밀번호 보호를 위해 임의로 생성되어 결정되며, 사용자 테이블의 사용자에 해당하는 필드 데이터에 저장됩니다. .

<code>//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过期时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);</code>

사용자의 솔트, 애플리케이션 전역 솔트 및 MCRYPT_BLOWFISH 암호화 키 $key는 모두 무작위로 생성되고 결정됩니다.
다음과 같은 알고리즘은
sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )
프로세스 ID + 임의의 숫자를 생성합니다. + 마이크로초 단위의 현재 시간을 기반으로 한 해시 값 + 엔트로피.

사용자를 인증할 때 먼저 개인 키를 사용하여 $_COOKIE['cookie_name']을 해독하고
base64_decode를 사용하여 사용자 ID를 가져온 다음
사용자 ID를 기준으로 사용자의 솔트를 쿼리합니다.
그런 다음 솔트를 넣습니다. 동일한 해시 알고리즘을 쿠키의 솔트 $cookie_salt와 비교한 후
일치하면 사용자의 쿠키가 유효한 것으로 판단됩니다

.

<code>//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));</code>

1. 쿠키 유효 기간을 설정하세요. 예를 들어 현재 시간에 1주일을 추가하면 브라우저를 닫아도 한 달 후에 만료됩니다.

2. 쿠키 콘텐츠는 userId에 대해 대칭적으로 암호화될 수 있습니다. 백엔드는 먼저 암호문을 가져온 다음 이를 해독하고 마지막으로 로그인합니다.

쿠키를 운영하는 것만으로는 세션 만료 문제를 해결할 수 없습니다. 缓存(진짜 중독성 있는 약물임)를 사용하여 세션을 넣는 것이 좋습니다. 만료 시간을 원하는 대로 설정할 수 있습니다. 온라인 상태라면 바로 캐시로 가서 확인해보세요 ;
php.ini에서 세션 저장 매체를 설정할 수 있는 것 같습니다.