现在自己的网站用的都是session,但这样浏览器一关了登入状态就没了,很不方便
怎么做【保持登入】功能,关于cookie方面的安全怎么做最好详细讲下,网上也没有具体的方案,希望有开发经验的人指导下
回复内容:
现在自己的网站用的都是session,但这样浏览器一关了登入状态就没了,很不方便
怎么做【保持登入】功能,关于cookie方面的安全怎么做最好详细讲下,网上也没有具体的方案,希望有开发经验的人指导下
需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.
这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:session_set_cookie_params(3600);
这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.
PHP session是每一个PHPSESSID默认对应一个保存会话数据的文件.
也就是说不同的PHPSESSID的会话数据是不共享的.
比如你用PHP session实现一个购物车或者视频观看记录的功能,
你把购物车的数据保存在会话文件里,那你在其他设备或浏览器登录后是看不到你的购物车数据的.
这时你应该把购物车数据保存在数据库里.
下面说说自己怎么基于数据库实现一套自定义的cookie会话机制:
cookie里存储用户ID(明文)和用户的盐值(哈希).
需要高安全性的话,还可以用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
这个cookie既要做到可以认证用户,又要做到不能被伪造.
用户的盐值是在用户注册时,为了保护密码,而随机生成并确定下来,保存在用户表里对应用户的一个字段数据.
<code>//保护用户密码的盐 $salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) ); //用户的密码($pwd_user是用户输入的密码明文) $pwd_db = sha1($salt.sha1($pwd_user)); //cookie里的盐 //其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效. $cookie_salt = sha1($global_salt.sha1($salt)); //最终生成的cookie内容 $cookie = base64_encode($user_id.'|'.$cookie_salt); //如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密. $cookie = mcrypt_blowfish($cookie, $key); //设置cookie,这里把过期时间设为3600秒(1小时) setcookie($cookie_name, $cookie, time()+3600);</code>
其中用户的盐,应用全局的盐,以及MCRYPT_BLOWFISH加密的密钥$key,都是随机生成并确定下来的.
算法比如:sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )
生成的是一个进程ID+随机数+基于当前时间微秒数+熵的一个哈希值.
验证用户的时候就是先用私钥解密$_COOKIE['cookie_name'],
然后base64_decode拿到用户ID,
然后根据用户ID查询用户的盐,
然后把这个盐经过同样的哈希算法后跟cookie里的盐$cookie_salt对比,
如果一致,则判定用户的cookie有效.
<code>//解密cookie $cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key); //分割后拿到里面的$user_id和$cookie_salt $cookie = explode('|', base64_decode($_COOKIE['cookie_name']));</code>
设置cookie有效期,比如当前时间加一个星期,这样就算关闭浏览器也要一个月过期
cookie内容可以对userId进行对称加密,后端先拿到密文,然后解密,最后登录
只操作cookie还是解决不了session过期的问题啊,建议用个缓存
(果然是上瘾药),把session放进去好了,过期时间随便你设置,检查是否在线时直接去缓存内检测;
好像php.ini
可以设置session的存储介质的。

使用数据库存储会话的主要优势包括持久性、可扩展性和安全性。1.持久性:即使服务器重启,会话数据也能保持不变。2.可扩展性:适用于分布式系统,确保会话数据在多服务器间同步。3.安全性:数据库提供加密存储,保护敏感信息。

在PHP中实现自定义会话处理可以通过实现SessionHandlerInterface接口来完成。具体步骤包括:1)创建实现SessionHandlerInterface的类,如CustomSessionHandler;2)重写接口中的方法(如open,close,read,write,destroy,gc)来定义会话数据的生命周期和存储方式;3)在PHP脚本中注册自定义会话处理器并启动会话。这样可以将数据存储在MySQL、Redis等介质中,提升性能、安全性和可扩展性。

SessionID是网络应用程序中用来跟踪用户会话状态的机制。1.它是一个随机生成的字符串,用于在用户与服务器之间的多次交互中保持用户的身份信息。2.服务器生成并通过cookie或URL参数发送给客户端,帮助在用户的多次请求中识别和关联这些请求。3.生成通常使用随机算法保证唯一性和不可预测性。4.在实际开发中,可以使用内存数据库如Redis来存储session数据,提升性能和安全性。

在无状态环境如API中管理会话可以通过使用JWT或cookies来实现。1.JWT适合无状态和可扩展性,但大数据时体积大。2.Cookies更传统且易实现,但需谨慎配置以确保安全性。

要保护应用免受与会话相关的XSS攻击,需采取以下措施:1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略,可以有效防护会话相关的XSS攻击,确保用户数据安全。

优化PHP会话性能的方法包括:1.延迟会话启动,2.使用数据库存储会话,3.压缩会话数据,4.管理会话生命周期,5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata,setInSeconds.1)它'sconfiguredinphp.iniorviaini_set().2)abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3)

在PHP中,可以使用session_name()函数配置会话名称。具体步骤如下:1.使用session_name()函数设置会话名称,例如session_name("my_session")。2.在设置会话名称后,调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突,并增强安全性,但需注意会话名称的唯一性、安全性、长度和设置时机。


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

VSCode Windows 64位 下载
微软推出的免费、功能强大的一款IDE编辑器

ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境

螳螂BT
Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。

记事本++7.3.1
好用且免费的代码编辑器

mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),