记住我的最佳做法功能

Question

我在cookie中使用2个变量（7天过期），这是用户ID和散列。哈希是用户代理和用户标识的sha1编码。在这种情况下，一些黑客可以登录谁是知道被盗的cookie的浏览器。我应该遵循哪种方式或哪种做法最适合记住我的安全问题？

Answer 1

虽然你可以散列为user_id和SECRET_KEY，谁拦截这个cookie可以登录到您的应用程序。除此之外，你可以做到这一点，以便你记得我的饼干很快就会过时。没有人喜欢陈旧的饼干。

您可以将每个用户上次访问的时间戳存储在数据库和cookie中。每次您阅读cookie以将用户登录时，都会检查两个时间戳是否匹配。如果他们不这样做，否认用户。如果他们这样做，更新时间戳。

使用此方法，只要您的用户返回您的网站，所有旧的Cookie就会过时。一个已经拦截cookie的黑客现在有一个毫无价值的陈旧cookie，因为他不知道当前cookie中的确切时间戳。当然，黑客可以利用一个新的cookie，他希望直到用户再次登录之多。

//check for cookie 
if(isset($_COOKIE['remember_me'])) { 
    // get hash and time stamp from cookie 
    $hash = substr($_COOKIE['remember_me'],0,40); 
    $last_visit = substr($_COOKIE['remember_me'],41); 

    // query your db with $hash and $last_visit 

    // if hash and time stamp match up 
     // log in 

     // store the current time stamp in a variable to use for both 
     $time = date("Y-m-d H:i:s"); 
     // update the time stamp in your cookie 
     $cookie = $pass . "-" . $time; 
     setcookie('remember_me', $cookie, time()+60*60*24*100, '/'); 
     // update the time_stamp in your database 
    else { 
     // remove the remember me cookie 
     setcookie('remember_me', '', time()-42000, '/') 
    } 

这种方法提供了安全少量，并且当然应该沿着在其他的答案提出端的方法使用。散列键应该存储在cookie中。记住我的cookie不能完全安全，所以需要重新输入密码才能对高度敏感的数据或应用程序功能进行任何其他访问。

我还建议给你的cookie命名除了'remember_me'之外的东西，使它更难找到。虽然它不会增加很多安全性，但是如果有的话，命名您的cookie'ht33424'只要命名为'remember_me'或'hack_me'即可。

Answer 2

就我个人而言，我创建一个随机散列并将其存储在“记住我”表中。该表还具有用户代理，用户标识和IP地址。每次我通过记忆功能重新登录用户时，都会检查两者。如果用户手动注销，我只需从表中删除该行。然后，如果他们再次登录，它会创建一个新的随机哈希。实际上没有办法与记住我的系统来嗅探数据包（除非您使用HTTPS only标志设置的安全cookie）。因此，请使用与HTTPS专用Cookie的安全连接。如果你不能，那么至少使随机散列，所以如果它被发现，你至少可以生成一个新的哈希来杀死该登录...

Answer 3

您最终可以使用会话来存储用户状态。但是，持续会话很长时间会导致同样的问题，会话ID将被盗用。您可以将cookie信息与其他浏览器或IP地址一起加入，但当用户没有静态IP时会导致问题。

无论如何，持有会话ID更安全，只需将用户的sha1密码输入到cookie即可。

Answer 4

HMAC

我通常做这种方式，所以我没什么可存储上的数据库或类似的服务器端。

你必须生成随机字符串，成为你的“秘密密钥”，你必须在服务器端存储（可能在一个配置php脚本作为常量），你永远不会告诉任何人。我会叫这个密钥SECRET_KEY。

那么你的cookie必须设置两个值：

• USER_ID：中USER_ID和SECRET_KEY一个安全的加密哈希：这将让自动登录
• HASH用户的用户ID。所以，例如，md5(USER_ID . "-" . SECRET_KEY)。 （与md5不同的东西，比如sha1或sha256是首选）。

因此，您的最终cookie可能是：USER_ID:HASH。

然后，当你要检查一个cookie是一个真正的记得我的cookie，你必须这样做：

function isCookieGenuine($cookie_value) { 
    list($value, $hash) = explode(':', $cookie_value, 2); 

    if (md5($value . "-" . SECRET_KEY) == $hash) 
    return true; 
    else 
    return false; 
} 

的一点是，只有你可以生成通过此检查，因为一个哈希hash不仅需要USER_ID，还需要SECRET_KEY，这是服务器以外的人所不知道的！ :)

正如评论指出的，你可以通过使用hash_hmac功能在PHP> = 5.1.2做到这一点：http://us.php.net/manual/en/function.hash-hmac.php

Answer 5

你可以简单地设置到期日期，再加上一年的cookie，但是在所有敏感区域都有一个输入密码字段，就像amazon使用的实现一样。被劫持的cookie将授予访问权限，但购买或修改任何个人要求重新输入的密码。

“记住我”表的问题在于，如果黑客可以访问此表，他可以创建并登录尽可能多的帐户。你可以争辩说它加强了记住我的功能的安全性，但它需要权衡软化膝盖安全区域的风险。