PHP自动登录的实现思路一般为使用cookie进行状态验证。网上和ecshop等系统对于自动登录的实现思路具体为单纯设置cookie的uid、username、password
- //检查用户是否登录
- function checklogin(){
- if(emptyempty($_SESSION['user_info'])){ //检查一下session是不是为空
- if(emptyempty($_COOKIE['username']) || emptyempty($_COOKIE['password'])){ //如果session为空,并且用户没有选择记录登录状
- header("location:login.php?req_url=".$_SERVER['REQUEST_URI']); //转到登录页面,记录请求的url,登录后跳转过去,用户体验好。
- }else{ //用户选择了记住登录状态
- $user = getUserInfo($_COOKIE['username'],$_COOKIE['password']); //去取用户的个人资料
- if(emptyempty($user)){ //用户名密码不对没到取到信息,转到登录页面
- header("location:login.php?req_url=".$_SERVER['REQUEST_URI']);
- }else{
- $_SESSION['user_info'] = $user; //用户名和密码对了,把用户的个人资料放到session里面
- }
- }
- }
这样的设置会留下很大的安全隐患,暴露用户信息给系统造成安全隐患。
更为安全的实现思路为:使用对需要放置cookie里面的数据使用单向的加密以及token和salt进行校验。
1.cookie名:uid。推荐进行加密,比如MD5('站点名称')等。
2.cookie值:登录名|有效时间Expires|hash值。hash值可以由"登录名+有效时间Expires+用户密码(加密后的)的前几位+salt",salt是保证在服务器端站点配置文件中的随机数。
这样子设计有以下几个优点:
1.即使数据库被盗了,盗用者还是无法登录到系统,因为组成cookie值的salt是保证在服务器站点配置文件中而非数据库。
2.如果账户被盗了,用户修改密码,可以使盗用者的cookie值无效。
3.如果服务器端的数据库被盗了,通过修改salt值可以使所有用户的cookie值无效,迫使用户重新登录系统。
4.有效时间Expires可以设置为当前时间+过去时间(比如2天),这样可以保证每次登录的cookie值都不一样,防止盗用者窥探到自己的cookie值后作为后门,长期登录。