php 如何做保持登錄 有關安全方面的詳細說下

現在自己的網站用的都是session，但這樣瀏覽器一關了登錄狀態就沒了，很不方便
怎麼做【保持登錄】功能，關於cookie方面的安全怎麼做最好詳細講下，網上也沒有具體的方案，希望有開發經驗的人指導下

回覆內容：

現在自己的網站用的都是session，但這樣瀏覽器一關了登錄狀態就沒了，很不方便
怎麼做【保持登錄】功能，關於cookie方面的安全怎麼做最好詳細講下，網上也沒有具體的方案，希望有開發經驗的人指導下

需要說明的是,PHP的session也是用cookie實現的,保存在瀏覽器的cookie名稱預設為PHPSESSID.
這個session的cookie也是可以設定過期時間的,例如過期時間設定為3600秒:
session_set_cookie_params( 3600);
這樣關閉瀏覽器後在一小時內重新打開這個cookie依舊有效.

PHP session是每一個PHPSESSID預設對應一個保存會話資料的檔案.
也就是說不同的PHPSESSID的會話資料是不共享的.
比如你用PHP session實現一個購物車或影片觀看記錄的功能,
你把購物車的數據保存在會話文件裡,那你在其他設備或瀏覽器登錄後是看不到你的購物車數據的.
這時你應該把購物車數據保存在數據庫裡.

下面說說自己怎麼基於資料庫實作一套自訂的cookie會話機制:

cookie裡儲存使用者ID(明文)和使用者的鹽值(雜湊).
需要高安全性的話,還可以用MCRYPT_BLOWFISH對整個cookie的內容做一次加密.
這個cookie既要做到可以認證使用者,又要做到不能被偽造.
用戶的鹽值是在用戶註冊時,為了保護密碼,而隨機生成並確定下來,保存在用戶表裡對應用戶的一個字段數據.

<code>//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过期时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);</code>

其中用戶的鹽,應用全域的鹽,以及MCRYPT_BLOWFISH加密的密鑰$key,都是隨機生成並確定下來的.
算法比如:
sha1( uniqid(getmypid().'_'.mt_rand() .'_', true) )
產生的是一個進程ID+隨機數+基於當前時間微秒數+熵的一個哈希值.

驗證用戶的時候就是先用私鑰解密$_COOKIE['cookie_name'],
然後base64_decode拿到用戶ID,
然後根據用戶ID查詢用戶的鹽,
然後把這個鹽經過同樣的哈希算法後跟cookie裡的鹽$cookie_salt對比,
如果一致,則判定用戶的cookie有效.

<code>//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));</code>

1. 設定cookie有效期，例如當前時間加一個星期，這樣就算關閉瀏覽器也要一個月過期

2. cookie內容可以對userId進行對稱加密，後端先拿到密文，然後解密，最後登入

只操作cookie還是解決不了session過期的問題啊，建議用個緩存(果然是上癮藥)，把session放進去好了，過期時間隨便你設置，檢查是否在線時直接去緩存內檢測；
好像php.ini可以設定session的儲存媒體的。