Доступ к данным сеанса с идентификатором сеанса связи

Question

Мне сказали, что хранить файлы, такие как пароли, имена пользователей и идентификаторы пользователей, в файлах cookie небезопасно, и вместо этого вы должны хранить sessionID в файле cookie. Вот где я заблудился.

Моя цель состоит в том, чтобы иметь базовую функцию «запомнить меня». Обычно я хотел бы хранить данные входа пользователя в файл cookie, но поскольку это небезопасно, мне интересно, какая альтернатива. Я понимаю, что каждый раз, когда я создаю сеанс, он создает cookie, который создает уникальный идентификатор, но заканчивается, когда я закрываю браузер. Итак, как мне получить доступ к этой информации о сеансе после закрытия браузера?

Вся помощь приветствуется.

Answer 1

Возможно, лучший подход, как было предложено, и то, что большинство сторонних приложений сделать, это создать «user_sessions» таблицы базы данных со следующими полями:

session_id (var_char) 
user_id (int) 
ip_address (var_char) 
last_logged_in (unix timestamp) 

Затем использовать куки для хранения md5 хэш все, что вам нравится, возможно:

md5($username.$ip); //since md5 has a lot of reverse look ups now you should use a number of fields to validate. You could use a different crypto function to make it more difficult to crack, but md5 is the simplest version available in all php versions. 

EDIT: вы затем сравнить сохраненный хэш от печенья с базой данных session_id, чтобы увидеть, если они уже вошли в систему причина совместить coupl. e полей в функции md5 заключается в создании менее «допустимого» формата хэширования. Это делает его менее вероятным, кто-то сможет отредактировать файл cookie и войти как кто-то другой.

Это может быть сделано для всех пользователей (таким образом вы можете отслеживать, кто в сети) и просто установите «постоянную» регистрационную переменную в cookie. например.

p_login=true || p_login=false 

Таким образом, вы узнаете, следует ли авторизоваться или принудительно войти в систему.

примечание: вы можете посмотреть http://www.openwall.com/articles/PHP-Users-Passwords для другого способа использования хеш-паролей, session_ids и пользователей.

Answer 2

Это может быть довольно крутая кривая обучения. Рассматривали ли вы использование ранее существовавшего CMS или другого решения для того, чего вы хотите достичь, или даже рамки, которая может включать эту функциональность?

Для функции «запомнить меня» вы можете отправлять файлы cookie, содержащие идентификатор пользователя, и хэш этого хэшированного пароля этого пользователя хэшируется с помощью известного, но секретного токена. Это решение не позволяет удаленно истекать чей-то логин, однако, не перезагружая чей-то пароль.

Другой подход состоит в том, чтобы создать уникальный токен для входа этого пользователя и иметь другую таблицу базы данных, связывающую этот уникальный токен с конкретным пользователем и датой истечения срока действия.