PHP网站中保持登录状态的功能是怎么做的？

本文转载自知乎用户小雷回答

首先，基于以上几位朋友提到的，SESSION信息存储在服务端，相对于存储在客户端的COOKIE更为安全，所以正常一般网站在用于“判断用户是否登录”时，确实是使用SESSION，例如可以在SESSION里存储如下一个数组：

//验证用户名和密码成功后
$_SESSION['userinfo'] = [
  'uid' => 123,
  'username' => 'testuser'
];

而后在需要验证登录的地方加入类似如下判断

if(empty($_SESSION['userinfo']) || empty($_SESSION['userinfo']['uid'])){
  //未登录，引导登录
}

以上是使用SESSION做用户登录的基本存储和验证逻辑，当然实际开发过程中会将这部分的代码封装

我们都知道，SESSION一般是通过在COOKIE里记录一个KEY为PHPSESSID的COOKIE来保持上下文的，而这个PHPSESSID的COOKIE的有效期是设置为“会话”，意味着关闭浏览器后该COOKIE被销毁，相应的后端SESSION也就销毁，如图
另外，由于PHP的Session本身就有GC的机制，一般默认1440秒内页面没有刷新动作（准确的说是没有新的请求来刷新该PHPSESSID的生命周期），该SESSION也就被自动回收，伴随着用户的登录就失效了。

Alt text

而题主关注的是如何实现这个“记住我”的功能，首先，虽然COOKIE保存在客户端，不安全，易被伪造，这是客观存在的事实，但要实现这个“记住我”，还确实就得用到COOKIE，我们能做的是尽量去提高伪造的门槛。

这边仅提供一个参考的设计方案，

1、将用户信息，比如一个['uid'=>123, 'username'=>'testuser']的数组，序列化后成为字符串，使用可逆加密算法加密该字符串，写到一个Key为userinfo的COOKIE里
2、由于可逆加密算法容易被解密，一旦加密的规则被别人猜测到以后，就可以轻易篡改这个COOKIE的内容，然后自行根据加密规则加密后伪造，所以，我们另外加入一个infodig的COOKIE，是将以上的userinfo的COOKIE内容，加入salt后使用不可逆加密算法生成散列，至于salt咱们可以自己定，总之要对外保密，不可逆算法例如md5，甚至多次加盐多次md5
3、以上两个COOKIE，为增强安全性，防止用户被XSS攻击后拿到，可以设置http-only属性

服务端判断存在以上两个COOKIE后
1、验证infodig与userinfo是否匹配（将userinfo的内容使用生成infodig的方法计算后，与COOKIE传上来的infodig匹配是否一致）
2、infodig验证通过后，使用解密算法解密userinfo串，得到用户信息，如果用户信息里的uid存在用户表中，则写SESSION，通过SESSION保持本次会话

总而言之，使用COOKIE记录用户信息是可行的（当然不建议把用户敏感的东西存在COOKIE，例如邮箱、手机、甚至密码，只记录对登录有用的部分，例如uid、username等标识，以及nickname可能会在某些地方提升用户体验），可以确定的是，这个COOKIE对用户可见，我们要做的就是两点：
1、尽量让用户看不懂，而只有我们服务端自己认识（可逆加密算法）；
2、即使用户看懂了，他也不能够轻易的伪造（不可逆的散列算法）