嗨,我正在编写一个认证登录功能,我需要添加典型的记住我复选框,使会话不过期。
这样做的最佳实践是什么?
我想添加一个cookie并存储在用户id中,然后当用户第一次浏览网站时,检查该cookie,如果存在,我从cookie中获取用户id并创建会话,这是正确的方法吗?安全方面呢?
我是这样做的:
创建一个名为"memorber_code"的列,并在勾选"remember me"时随机生成哈希值
设置Cookie与memorber_code,以及用户的身份(登录用户名或电子邮件)。
当他们试图重新登录时,检查数据库中的两个:memorber_code,以及用户名/电子邮件,如果他们是正确的,自动登录。
这种做法通常是安全的,但要再次检查,您可以检查IP或User Agent以确保是正确的用户。
我在CodeIgniter 3上实现了一些不同的解决方案。
我对待记忆选项就像只延长会话时间。即标准会话时间为2小时,延长7天。
设置:
1 -添加记住我复选框和隐藏字段的形式
echo form_hidden('remember_me', '0');
echo form_checkbox('remember_me', '1');
2 -将以下内容添加到配置(config.php
)
$config['sess_expiration'] = 72000; // standard time, 2hrs
$config['sess_extended_expiration'] = 604800; // extended time, 7 days
3 - Create MY_Session.php
in application/libraries/Session
directory.
4 -把下面的代码放到它
<?php
defined('BASEPATH') OR exit('No direct script access allowed');
class MY_Session extends CI_Session {
public function __construct(array $params = array())
{
parent::__construct($params);
// No session time manipulation
if (!isset($this->_config['sess_extended']))
{
return $this;
}
if ($this->_config['sess_extended'])
{
// Remember for next regenerate execs
setcookie(
'remember_me',
'1',
(empty($this->_config['cookie_lifetime']) ? 0 : time() + $this->_config['cookie_lifetime']),
$this->_config['cookie_path'],
$this->_config['cookie_domain'],
$this->_config['cookie_secure'],
TRUE
);
}
else
{
// Forget remember me
setcookie(
'remember_me',
NULL,
-1,
$this->_config['cookie_path'],
$this->_config['cookie_domain'],
$this->_config['cookie_secure'],
TRUE
);
}
}
protected function _configure(&$params)
{
// Restore standard session time
if (filter_input(INPUT_POST, 'remember_me') === '0')
{
$params['sess_extended'] = false;
return parent::_configure($params);
}
// Extend session time
elseif (filter_input(INPUT_POST, 'remember_me') === '1' || (isset($_COOKIE['remember_me']) && !empty($_COOKIE['remember_me'])))
{
if (!empty(config_item('sess_extended_expiration')))
{
$_config[0] = & get_config();
$_config[0]['sess_expiration'] = config_item('sess_extended_expiration');
$_config[0]['sess_time_to_update'] = 0;
$params['sess_extended'] = true;
}
}
return parent::_configure($params);
}
}
没有安全隐患,这只是延长会话时间。
还要记住服务器必须允许长会话时间。您可以通过
查看当前超时var_dump(ini_get('session.gc_maxlifetime'));