如何在 PHP 中實現安全的「記住我」功能？-php教程-PHP中文網

首頁

後端開發

php教程

如何在 PHP 中實現安全的「記住我」功能？

Patricia Arquette

Nov 10, 2024 am 04:26 AM

How to Implement a Secure

增強的用戶體驗：在PHP 中實現安全的「記住我」功能

為了方便用戶，「記住我」複選框提供了無縫的登入體驗透過在會話之間保留使用者的身份驗證。為了確保其安全性，了解在使用者瀏覽器中儲存 cookie 的最佳實踐至關重要。受到可信任部落格文章的啟發，讓我們探索此功能的穩健實現。

核心結構

單獨的資料庫表 auth_tokens 為儲存身分驗證資訊提供了基礎。它包含選擇器、令牌、使用者 ID 和過期時間戳等欄位。將選擇器和令牌分開可以防止 SELECT 查詢期間的定時攻擊，從而增強安全性。

啟動記住我

成功登入並啟動「記住我」後，將發生以下操作：

產生隨機選擇器（12 個字元）和驗證器（33 位元組）。
設定名為「remember」的 cookie，包含選擇器和 Base64 編碼的驗證器。
將選擇器、雜湊驗證器、使用者 ID 和過期時間戳記插入 auth_tokens 表中。

Re -頁面載入時進行身份驗證

在沒有活動會話且存在「記住」的情況下cookie 時，會執行以下操作：

從cookie 中提取選擇器和驗證器。
資料庫查詢以使用選擇器擷取對應的行。
比較使用安全性hash_equals() 函數將檢索到的雜湊驗證器與資料庫儲存的雜湊進行比較，防止計時
如果比較成功，則設定會話使用者ID 並重新產生登入令牌。

實現細節

選擇器使用 9 位元組的隨機數據，提供高水準的抗碰撞性。認證符使用33字節，保證了其不可預測性。雜湊驗證器的儲存可降低用戶假冒風險。

選擇器和驗證器的分離可確保恆定時間的資料庫查找，防止基於時間的攻擊。

透過遵守這些原則，「「記住我」功能成為安全、無憂的使用者體驗不可或缺的一部分。

以上是如何在 PHP 中實現安全的「記住我」功能？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

11個最佳PHP URL縮短腳本（免費和高級）Mar 03, 2025 am 10:49 AM

長URL（通常用關鍵字和跟踪參數都混亂）可以阻止訪問者。 URL縮短腳本提供了解決方案，創建了簡潔的鏈接，非常適合社交媒體和其他平台。這些腳本對於單個網站很有價值

Instagram API簡介Mar 02, 2025 am 09:32 AM

在Facebook在2012年通過Facebook備受矚目的收購之後，Instagram採用了兩套API供第三方使用。這些是Instagram Graph API和Instagram Basic Display API。作為開發人員建立一個需要信息的應用程序

在Laravel中使用Flash會話數據Mar 12, 2025 pm 05:08 PM

Laravel使用其直觀的閃存方法簡化了處理臨時會話數據。這非常適合在您的應用程序中顯示簡短的消息，警報或通知。默認情況下，數據僅針對後續請求： $請求 -

構建具有Laravel後端的React應用程序：第2部分，ReactMar 04, 2025 am 09:33 AM

這是有關用Laravel後端構建React應用程序的系列的第二個也是最後一部分。在該系列的第一部分中，我們使用Laravel為基本的產品上市應用程序創建了一個RESTFUL API。在本教程中，我們將成為開發人員

簡化的HTTP響應在Laravel測試中模擬了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显著减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>