我创建了一个论坛,它在登录时使用PHP会话来确定用户id,并使用cookie进行长期登录。
我想我有两个问题:
- 这是最好/最安全的方法吗?
- cookie可以用javascript通过地址栏手动添加,这是一个巨大的安全风险。还有别的办法吗?
谢谢!
首先,确保您使用的是https而不是http。这将防止您的流量被嗅探和利用。
其次,生成一个尽可能随机的值作为cookie中的令牌。这是许多大型网站追踪用户的方式。在服务器端拥有一个从令牌到用户的映射,用于跟踪身份。请记住:来自客户端的任何信息都是不可信的,都可能被篡改。
第三,使用HMAC使篡改变得更加困难。您不希望用户能够暴力破解其他令牌。
编辑:你可能会发现这些问题/答案在你建立这个系统时很有帮助:
关于创建和使用令牌的详细信息(不一定必须是REST服务才能适用):REST Web服务身份验证令牌实现
创建好的令牌(不要使用microtime):使用microtime()生成密码重置令牌是错误的做法