php永久登录 记住密码
2016-07-21 09:27
344 查看
永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。
据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。
不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。
永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。
第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。
为避免使用用户的密码,可以建立一个只供一次验证有效的标识:
你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。
由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。
通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
你应该坚持从三个方面来限制永久登录cookie的使用。
Cookie需在一周内(或更少)过期
Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
在服务器端限定cookie在一周(或更少)时间内过期
如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。
另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。
最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:
上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
转载自http://blog.csdn.net/clh604/article/details/20282945
据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。
不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。
永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。
第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。
为避免使用用户的密码,可以建立一个只供一次验证有效的标识:
1 | <?php |
2 |
3 | $token =md5(uniqid(rand(),TRUE)); |
4 |
5 | ?> |
由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。
01 | mysql>DESCRIBE users; |
02 | +------------+------------------+------+-----+---------+-------+ |
03 | | Field| Type | Null | Key | Default | Extra | |
04 | +------------+------------------+------+-----+---------+-------+ |
05 | | username | varchar(25)|| PRI | | | |
06 | | password | varchar(32)| YES| | NULL| | |
07 | | identifier | varchar(32)| YES| MUL | NULL| | |
08 | | token| varchar(32)| YES| | NULL| | |
09 | | timeout| int(10) unsigned | YES| | NULL| | |
10 | +------------+------------------+------+-----+---------+-------+ |
01 | <?php |
02 |
03 | $salt = 'SHIFLETT' ; |
04 |
05 | $identifier =md5( $salt .md5( $username . $salt )); |
06 | $token =md5(uniqid(rand(),TRUE)); |
07 | $timeout =time() + 60 * 60 * 24 * 7; |
08 |
09 | setcookie( 'auth' , "$identifier:$token" , $timeout ); |
10 |
11 | ?> |
01 | <?php |
02 |
03 | /* mysql_connect() */ |
04 | /* mysql_select_db() */ |
05 |
06 | $clean = array (); |
07 | $mysql = array (); |
08 |
09 | $now =time(); |
10 | $salt = 'SHIFLETT' ; |
11 |
12 | list( $identifier , $token ) = explode ( ':' , $_COOKIE [ 'auth' ]); |
13 |
14 | if (ctype_alnum( $identifier ) && ctype_alnum( $token )) |
15 | { |
16 | $clean [ 'identifier' ] = $identifier ; |
17 | $clean [ 'token' ] = $token ; |
18 | } |
19 | else |
20 | { |
21 | /* ...*/ |
22 | } |
23 |
24 | $mysql [ 'identifier' ] =mysql_real_escape_string( $clean [ 'identifier' ]); |
25 |
26 | $sql ="SELECT username,token,timeout |
27 | FROM users |
28 | WHEREidentifier = '{$mysql['identifier ']}' "; |
29 |
30 | if ( $result =mysql_query( $sql )) |
31 | { |
32 | if (mysql_num_rows( $result )) |
33 | { |
34 | $record =mysql_fetch_assoc( $result ); |
35 |
36 | if ( $clean [ 'token' ] != $record [ 'token' ]) |
37 | { |
38 | /* Failed Login (wrong token) */ |
39 | } |
40 | elseif ( $now > $record [ 'timeout' ]) |
41 | { |
42 | /* Failed Login (timeout) */ |
43 | } |
44 | elseif ( $clean [ 'identifier' ] != |
45 | md5( $salt .md5( $record [ 'username' ] $salt ))) |
46 | { |
47 | /* Failed Login (invalid identifier) */ |
48 | } |
49 | else |
50 | { |
51 | /* Successful Login */ |
52 | } |
53 |
54 | } |
55 | else |
56 | { |
57 | /* Failed Login (invalid identifier) */ |
58 | } |
59 | } |
60 | else |
61 | { |
62 | /* Error */ |
63 | } |
64 |
65 | ?> |
Cookie需在一周内(或更少)过期
Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
在服务器端限定cookie在一周(或更少)时间内过期
如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。
另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。
最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:
1 | <?php |
2 |
3 | setcookie( 'auth' , 'DELETED!' ,time()); |
4 |
5 | ?> |
转载自http://blog.csdn.net/clh604/article/details/20282945
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [李景山php]thinkphp核心源码注释|Sqlsrv.class.php
- [李景山php]thinkphp核心源码注释|Sqlite.class.php
- [李景山php]thinkphp核心源码注释|Pgsql.class.php
- PHP图片上传程序(完整版)
- [李景山php]thinkphp核心源码注释|Mysql.class.php
- [李景山php]thinkphp核心源码注释|Mongo.class.php
- [李景山php]thinkphp核心源码注释|Firebird.class.php
- [李景山php]thinkphp核心源码注释|Driver.class.php
- [李景山php]thinkphp核心源码注释|Lite.class.php
- 用php生成静态html页面
- [李景山php]每天laravel-20160920|Writer-2
- [李景山php]每天laravel-20160920|Writer-2
- phpcms v9模板制作常用代码集合
- php使用simple_html_dom解析HTML示例
- getppid()
- PHP获取当前文件的父目录方法汇总
- ZendStudio调试配置(XDebug)
- CCNA系列六之VTP协议
- Entrust - Laravel 用户权限系统解决方案
- How to fix in laravel 5.2 zizaco entrust:migration class name validation?