PHP实现安全的自动登录

    PHP自动登录的实现思路一般为使用cookie进行状态验证。网上和ecshop等系统对于自动登录的实现思路具体为单纯设置cookie的uid、username、password

查看 复制 打印 ?
  1. //检查用户是否登录  
  2. function checklogin(){  
  3.  if(emptyempty($_SESSION['user_info'])){    //检查一下session是不是为空  
  4.  if(emptyempty($_COOKIE['username']) || emptyempty($_COOKIE['password'])){  //如果session为空,并且用户没有选择记录登录状  
  5.  header("location:login.php?req_url=".$_SERVER['REQUEST_URI']);  //转到登录页面,记录请求的url,登录后跳转过去,用户体验好。  
  6.  }else{   //用户选择了记住登录状态  
  7.  $user = getUserInfo($_COOKIE['username'],$_COOKIE['password']);   //去取用户的个人资料  
  8.  if(emptyempty($user)){    //用户名密码不对没到取到信息,转到登录页面  
  9.  header("location:login.php?req_url=".$_SERVER['REQUEST_URI']);  
  10.  }else{  
  11.  $_SESSION['user_info'] = $user;   //用户名和密码对了,把用户的个人资料放到session里面  
  12.  }  
  13.  }  
  14.  }  

    这样的设置会留下很大的安全隐患,暴露用户信息给系统造成安全隐患。

    更为安全的实现思路为:使用对需要放置cookie里面的数据使用单向的加密以及token和salt进行校验。

    1.cookie名:uid。推荐进行加密,比如MD5('站点名称')等。
  2.cookie值:登录名|有效时间Expires|hash值。hash值可以由"登录名+有效时间Expires+用户密码(加密后的)的前几位+salt",salt是保证在服务器端站点配置文件中的随机数。
这样子设计有以下几个优点:
  1.即使数据库被盗了,盗用者还是无法登录到系统,因为组成cookie值的salt是保证在服务器站点配置文件中而非数据库。
  2.如果账户被盗了,用户修改密码,可以使盗用者的cookie值无效。
  3.如果服务器端的数据库被盗了,通过修改salt值可以使所有用户的cookie值无效,迫使用户重新登录系统。
  4.有效时间Expires可以设置为当前时间+过去时间(比如2天),这样可以保证每次登录的cookie值都不一样,防止盗用者窥探到自己的cookie值后作为后门,长期登录。

    

你可能感兴趣的:(PHP实现安全的自动登录)