PHP实现安全的自动登录

    PHP自动登录的实现思路一般为使用cookie进行状态验证。网上和ecshop等系统对于自动登录的实现思路具体为单纯设置cookie的uid、username、password

查看 复制 打印 ?

 //检查用户是否登录
 function checklogin(){
  if(emptyempty($_SESSION['user_info'])){    //检查一下session是不是为空
  if(emptyempty($_COOKIE['username']) || emptyempty($_COOKIE['password'])){  //如果session为空，并且用户没有选择记录登录状
  header("location:login.php?req_url=".$_SERVER['REQUEST_URI']);  //转到登录页面，记录请求的url，登录后跳转过去，用户体验好。
  }else{   //用户选择了记住登录状态
  $user = getUserInfo($_COOKIE['username'],$_COOKIE['password']);   //去取用户的个人资料
  if(emptyempty($user)){    //用户名密码不对没到取到信息，转到登录页面
  header("location:login.php?req_url=".$_SERVER['REQUEST_URI']);
  }else{
  $_SESSION['user_info'] = $user;   //用户名和密码对了，把用户的个人资料放到session里面
  }
  }
  }

    这样的设置会留下很大的安全隐患,暴露用户信息给系统造成安全隐患。

    更为安全的实现思路为：使用对需要放置cookie里面的数据使用单向的加密以及token和salt进行校验。

    1.cookie名：uid。推荐进行加密，比如MD5('站点名称')等。
  2.cookie值：登录名|有效时间Expires|hash值。hash值可以由"登录名+有效时间Expires+用户密码（加密后的）的前几位+salt"，salt是保证在服务器端站点配置文件中的随机数。
这样子设计有以下几个优点：
  1.即使数据库被盗了，盗用者还是无法登录到系统，因为组成cookie值的salt是保证在服务器站点配置文件中而非数据库。
  2.如果账户被盗了，用户修改密码，可以使盗用者的cookie值无效。
  3.如果服务器端的数据库被盗了，通过修改salt值可以使所有用户的cookie值无效，迫使用户重新登录系统。
  4.有效时间Expires可以设置为当前时间+过去时间（比如2天），这样可以保证每次登录的cookie值都不一样，防止盗用者窥探到自己的cookie值后作为后门，长期登录。