PHP永久登录、记住我功能实现方法和安全做法 登录功能的实现.docxVIP

第 第 PAGE 1 页 共 NUMPAGES 1 页 PHP永久登录、记住我功能实现方法和安全做法 登录功能的实现 PHP永久登录、记住我功能实现方法和安全做法  这篇文章主要介绍了PHP永久登录、记住我功能实现方法和安全做法,本文着重讲解用数据库实现更安全的永久登录、记住我功能,需要的朋友可以参考下  永久登录指的是在浏览器会话间进行持续验证的机制。换句话说，今天已登录的用户明天依然是处于登录状态，即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性，但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证，而是提供了记住登录的选择。  据我观察，最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的不需要提示用户输入用户名和密码，你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同，因此该方案是一个简单的方案。  不过如果你确实是把用户名和密码存在cookie中的话，请立刻关闭该功能，同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码，因为他们的验证信息已经暴露了。  永久登录需要一个永久登录cookie，通常叫做验证cookie，这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问，它就会造成对你的应用的安全的严重风险，所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。  第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的，但有一个深度防范流程是最好的，特别是因为这种机制即使是在一切运行正常的情况下，也会降低验证表单的安全性。这样，该cookie就不能基于任何提供永久登录的信息来产生，如用户密码。  为避免使用用户的密码，可以建立一个只供一次验证有效的标识：  代码如下:   $token = md5(uniqid(rand(), TRUE));  ?  你可以把它保存在用户的会话中以把它与特定的用户相关联，但这并不能帮助你在多个会话间保持登录，这是一个大前提。因此，你必须使用一个不同的方法把这个标识与特定的用户关联起来。  由于用户名与密码相比要不敏感一些，你可以把它存在cookie中，这可以帮助验证程序确认提供的是哪个用户的标识。可是，一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段：第二身份标识(identifier)，永久登录标识(token)，以及一个永久登录超时时间(timeout)。  代码如下:  mysql DESCRIBE users;  +++++++  | Field | Type | Null | Key | Default | Extra |  +++++++  | username | varchar(25) | | PRI | | |  | password | varchar(32) | YES | | NULL | |  | identifier | varchar(32) | YES | MUL | NULL | |  | token | varchar(32) | YES | | NULL | |  | timeout | int(10) unsigned | YES | | NULL | |  +++++++  通过产生并保存一个第二身份标识与永久登录标识，你就可以建立一个不包含任何用户验证信息的cookie。  代码如下:   $salt = SHIFLETT;  $identifier = md5($salt . md5($username . $salt));  $token = md5(uniqid(rand(), TRUE));  $timeout = time() + 60 * 60 * 24 * 7;  setcookie(auth, $identifier:$token, $timeout);  ?  当一个用户使用了一个永久登