如何使用持久 Cookie 在 PHP 登录系统中安全地实现'记住我”功能？-php教程-PHP中文网

首页

后端开发

php教程

如何使用持久 Cookie 在 PHP 登录系统中安全地实现'记住我”功能？

Susan Sarandon

Nov 10, 2024 am 12:36 AM

How to Securely Implement

PHP 登录系统中用于安全“记住我”功能的持久 Cookie

简介

在 PHP 登录系统中实现“记住我”功能需要在用户的浏览器。此 cookie 允许用户即使在关闭浏览器或重新启动设备后仍保持登录状态。

数据库结构

要安全地存储“记住我”信息，请在你的数据库：

CREATE TABLE `auth_tokens` (
    `id` integer(11) not null UNSIGNED AUTO_INCREMENT,
    `selector` char(12),
    `token` char(64),
    `userid` integer(11) not null UNSIGNED,
    `expires` datetime,
    PRIMARY KEY (`id`)
);

选择器和令牌字段将用于存储记住我

登录后

当用户登录并选择“记住我”选项时，生成一个随机选择器（12 个字符）和一个验证器（33 个字符） bytes) 使用 random_bytes() 函数或类似的方法来确保随机性。

使用以下内容设置记住我 cookie code:

setcookie(
    'remember',
    $selector . ':' . base64_encode($authenticator),
    time() + 864000, // expires in 10 days
    '/',
    'yourdomain.com',
    true, // TLS-only
    true  // http-only
);

将选择器、哈希验证器、用户 ID 和过期时间插入 auth_tokens 表。

页面加载时重新验证

在后续页面加载时，如果用户尚未登录并且记住我 cookie 为set:

从 cookie 中提取选择器和验证器。
在 auth_tokens 表中查询具有匹配选择器的行。
比较计算出的哈希值使用 hash_equals() 使用存储的哈希验证器提取验证器。
如果哈希匹配，通过设置会话数据并重新生成登录令牌来使用户登录。

详细信息

碰撞抵抗： 9字节选择器提供72位防冲突性，33字节验证器提供264位防冲突性。位。
哈希验证器：存储验证器的 SHA256 哈希可以降低与信息泄漏相关的风险。
恒定时间比较：单独的选择器和验证器字段消除了对数据库查找的潜在计时攻击。

以上是如何使用持久 Cookie 在 PHP 登录系统中安全地实现'记住我”功能？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

绝对会话超时有什么区别？May 03, 2025 am 12:21 AM

绝对会话超时从会话创建时开始计时，闲置会话超时则从用户无操作时开始计时。绝对会话超时适用于需要严格控制会话生命周期的场景，如金融应用；闲置会话超时适合希望用户长时间保持会话活跃的应用，如社交媒体。

如果会话在服务器上不起作用，您将采取什么步骤？May 03, 2025 am 12:19 AM

服务器会话失效可以通过以下步骤解决：1.检查服务器配置，确保会话设置正确。2.验证客户端cookies，确认浏览器支持并正确发送。3.检查会话存储服务，如Redis，确保其正常运行。4.审查应用代码，确保会话逻辑正确。通过这些步骤，可以有效诊断和修复会话问题，提升用户体验。

session_start（）函数的意义是什么？May 03, 2025 am 12:18 AM

session_start（）iscucialinphpformanagingusersessions.1）ItInitiateSanewsessionifnoneexists，2）resumesanexistingsessions，and3）setsasesessionCookieforContinuityActinuityAccontinuityAcconActInityAcconActInityAcconAccRequests，EnablingApplicationsApplicationsLikeUseAppericationLikeUseAthenticationalticationaltication and PersersonalizedContentent。

为会话cookie设置httponly标志的重要性是什么？May 03, 2025 am 12:10 AM

设置httponly标志对会话cookie至关重要，因为它能有效防止XSS攻击，保护用户会话信息。具体来说，1）httponly标志阻止JavaScript访问cookie，2）在PHP和Flask中可以通过setcookie和make_response设置该标志，3）尽管不能防范所有攻击，但应作为整体安全策略的一部分。

PHP会议在网络开发中解决了什么问题？May 03, 2025 am 12:02 AM

phpsessions solvathepromblymaintainingStateAcrossMultipleHttpRequestsbyStoringDataTaNthEserVerAndAssociatingItwithaIniquesestionId.1）他们储存了AtoredAtaserver side，通常是Infilesordatabases，InseasessessionIdStoreDistordStoredStoredStoredStoredStoredStoredStoreDoreToreTeReTrestaa.2）

可以在PHP会话中存储哪些数据？May 02, 2025 am 12:17 AM

phpsessionscanStorestrings，数字，数组和原始物。

您如何开始PHP会话？May 02, 2025 am 12:16 AM

tostartaphpsession，usesesses_start（）attheScript'Sbeginning.1）placeitbeforeanyOutputtosetThesessionCookie.2）useSessionsforuserDatalikeloginstatusorshoppingcarts.3）regenerateSessiveIdStopreventFentfixationAttacks.s.4）考虑使用AttActAcks.s.s.4）