如何使用持久 Cookie 在 PHP 登入系統中安全地實現「記住我」功能？-php教程-PHP中文網

首頁

後端開發

php教程

如何使用持久 Cookie 在 PHP 登入系統中安全地實現「記住我」功能？

Susan Sarandon

Nov 10, 2024 am 12:36 AM

How to Securely Implement

PHP 登入系統中用於安全「記住我」功能的持久Cookie

簡介

在PHP 登入系統中實現「記得我」功能需要在使用者的瀏覽器。此 cookie 允許使用者即使在關閉瀏覽器或重新啟動裝置後仍保持登入狀態。

資料庫結構

CREATE TABLE `auth_tokens` (
    `id` integer(11) not null UNSIGNED AUTO_INCREMENT,
    `selector` char(12),
    `token` char(64),
    `userid` integer(11) not null UNSIGNED,
    `expires` datetime,
    PRIMARY KEY (`id`)
);

要安全地儲存「記住我」信息，請在你的資料庫：

選擇器和令牌字段將用於存儲記住我

登錄後

setcookie(
    'remember',
    $selector . ':' . base64_encode($authenticator),
    time() + 864000, // expires in 10 days
    '/',
    'yourdomain.com',
    true, // TLS-only
    true  // http-only
);

當用戶登錄並選擇“記住我”選項時，生成一個隨機選擇器（12 個字元）和一個驗證器（33 個字元） bytes) 使用random_bytes() 函數或類似的方法來確保隨機性。

使用以下內容設定記住我 cookie code:

將選擇器、雜湊驗證器、使用者 ID 和過期時間插入 auth_tokens 表。

頁面載入時重新驗證

從cookie 中提取選擇器和驗證器。
在 auth_tokens 表中查詢具有符合選擇器的行。

比較計算出的雜湊值使用 hash_equals() 使用儲存的雜湊驗證器擷取驗證器。

如果雜湊匹配，則透過設定會話資料並重新產生登入令牌來使用戶登入。

詳細資料
碰撞抵抗： 9位元組選擇器提供72位元防衝突性，33位元組驗證器提供264位元防衝突性。位元.
雜湊驗證器：儲存驗證器的 SHA256 雜湊可以降低與資訊外洩相關的風險。

恆定時間比較：單獨的選擇器和驗證器欄位消除了對資料庫查找的潛在計時攻擊。

以上是如何使用持久 Cookie 在 PHP 登入系統中安全地實現「記住我」功能？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP和Python：解釋了不同的範例Apr 18, 2025 am 12:26 AM

PHP主要是過程式編程，但也支持面向對象編程（OOP）；Python支持多種範式，包括OOP、函數式和過程式編程。 PHP適合web開發，Python適用於多種應用，如數據分析和機器學習。

PHP和Python：深入了解他們的歷史Apr 18, 2025 am 12:25 AM

PHP起源於1994年，由RasmusLerdorf開發，最初用於跟踪網站訪問者，逐漸演變為服務器端腳本語言，廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發，1991年首次發布，強調代碼可讀性和簡潔性，適用於科學計算、數據分析等領域。

在PHP和Python之間進行選擇：指南Apr 18, 2025 am 12:24 AM

PHP適合網頁開發和快速原型開發，Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發，語法簡單，適合快速開發。 2.Python語法簡潔，適用於多領域，庫生態系統強大。

PHP和框架：現代化語言Apr 18, 2025 am 12:14 AM

PHP在現代化進程中仍然重要，因為它支持大量網站和應用，並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發，提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHP的影響：網絡開發及以後Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

PHP如何處理對象克隆（克隆關鍵字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone關鍵字創建對象副本，並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝，克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象，避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題，優化克隆操作以提高效率。