本文转载自知乎用户小雷回答
首先,基于以上几位朋友提到的,SESSION信息存储在服务端,相对于存储在客户端的COOKIE更为安全,所以正常一般网站在用于“判断用户是否登录”时,确实是使用SESSION,例如可以在SESSION里存储如下一个数组:
//验证用户名和密码成功后
$_SESSION['userinfo'] = [
'uid' => 123,
'username' => 'testuser'
];
而后在需要验证登录的地方加入类似如下判断
if(empty($_SESSION['userinfo']) || empty($_SESSION['userinfo']['uid'])){
//未登录,引导登录
}
以上是使用SESSION做用户登录的基本存储和验证逻辑,当然实际开发过程中会将这部分的代码封装
我们都知道,SESSION一般是通过在COOKIE里记录一个KEY为PHPSESSID的COOKIE来保持上下文的,而这个PHPSESSID的COOKIE的有效期是设置为“会话”,意味着关闭浏览器后该COOKIE被销毁,相应的后端SESSION也就销毁,如图
另外,由于PHP的Session本身就有GC的机制,一般默认1440秒内页面没有刷新动作(准确的说是没有新的请求来刷新该PHPSESSID的生命周期),该SESSION也就被自动回收,伴随着用户的登录就失效了。
而题主关注的是如何实现这个“记住我”的功能,首先,虽然COOKIE保存在客户端,不安全,易被伪造,这是客观存在的事实,但要实现这个“记住我”,还确实就得用到COOKIE,我们能做的是尽量去提高伪造的门槛。
这边仅提供一个参考的设计方案,
1、将用户信息,比如一个['uid'=>123, 'username'=>'testuser']的数组,序列化后成为字符串,使用可逆加密算法加密该字符串,写到一个Key为userinfo的COOKIE里
2、由于可逆加密算法容易被解密,一旦加密的规则被别人猜测到以后,就可以轻易篡改这个COOKIE的内容,然后自行根据加密规则加密后伪造,所以,我们另外加入一个infodig的COOKIE,是将以上的userinfo的COOKIE内容,加入salt后使用不可逆加密算法生成散列,至于salt咱们可以自己定,总之要对外保密,不可逆算法例如md5,甚至多次加盐多次md5
3、以上两个COOKIE,为增强安全性,防止用户被XSS攻击后拿到,可以设置http-only属性
服务端判断存在以上两个COOKIE后
1、验证infodig与userinfo是否匹配(将userinfo的内容使用生成infodig的方法计算后,与COOKIE传上来的infodig匹配是否一致)
2、infodig验证通过后,使用解密算法解密userinfo串,得到用户信息,如果用户信息里的uid存在用户表中,则写SESSION,通过SESSION保持本次会话
总而言之,使用COOKIE记录用户信息是可行的(当然不建议把用户敏感的东西存在COOKIE,例如邮箱、手机、甚至密码,只记录对登录有用的部分,例如uid、username等标识,以及nickname可能会在某些地方提升用户体验),可以确定的是,这个COOKIE对用户可见,我们要做的就是两点:
1、尽量让用户看不懂,而只有我们服务端自己认识(可逆加密算法);
2、即使用户看懂了,他也不能够轻易的伪造(不可逆的散列算法)
