我想知道网络应用通常遵循的在多个请求之间保持登录的过程，以及它们如何使用 COOKIES 进行管理。

在我的登录表单中，我提供了“记住我”功能。

当用户登录时，我会从数据库中检查用户名和密码的有效性。如果它有效，那么我检查是否选择了“记住我”，如果是，则将用户名和密码存储在 session 中，加密格式。最后将用户名和密码存储在 SESSION 中。

当用户从一个页面导航到另一个页面时，首先我运行登录检查脚本检查 cookie 中是否有任何值，然后它从数据库中验证用户名和密码，以检查其有效性。如果 cookie 中没有值而 session 中有一些值，那么我正在获取 session 值并且不从 db 中检查它。

我没有检查数据库中的 session 值，以免不必要地访问数据库，加快速度。如果是 cookie，则可以修改它们，因此需要检查。

这就是我的概念，对吗？这是要走的路，通常像 SO 这样的网站，以及其他采用这种方法的作品吗？

或者网站在每次加载页面时检查登录真实性，无论是在 session 中还是在 cookie 中？

请检查并给出您对此场景的想法和概念。

谢谢!

最佳答案

首先，只跟踪是否有人登录。之后，我们将处理“记住我”功能。

要知道是否有人登录，只需查看 $_SESSION 数组即可。那里的一切都是因为你之前把它放在那里。因此，在处理登录表单时，如果用户名和密码正确，那么您将在 session 中存储用户名、用户 ID 或其他任何内容 ($_SESSION['username'] = $username;)。

每当用户加载任何页面时，您只需检查

if (isset($_SESSION['username'])) {
    // $_SESSION['username'] is logged in
} else {
    // nobody is logged in
}

没有必要将密码存储在$_SESSION中(事实上，为了安全起见，最好不要将其存储在数据库中哈希之外的任何地方)。

现在，“记住我”功能......首先，一些注意事项:

• 任何用户都可以修改其浏览器的 cookie，因此您需要确保发送到应用程序的 cookie 未被篡改。
• 用户可能会在公共(public)计算机(图书馆等)上检查它，因此您需要一个系统来使它无效。
• 如果用户退出您的应用程序，则必须删除记住他/她的 cookie。

对于第一点，假设您在 cookie 上存储了要“记住”的用户的用户名(非常不安全!!)。这意味着，如果任何用户为您的 Web 应用程序创建了内容为“joe”的 cookie，您的应用程序将认为该计算机中记住了用户 joe，因此向该攻击者授予访问权限，就好像他/她是 joe 一样。因此，我们需要以某种方式对 cookie 进行加密/哈希处理。

对于第二点，在某些计算机上使“记住我”无效，我们将以某种方式使用密码。如果某个用户想要使他/她可能选中“记住我”复选框的所有计算机无效，他/她所要做的就是更改他/她的密码。这也意味着，如果他/她更改了他/她的密码，则出于同样的确切原因，他/她帐户的所有已保存登录信息都将失效。但安全总比后悔好...

因此，当您处理登录且用户名和密码正确且选中“记住我”选项时，除了在 session 中保存用户名外，您还存储了用户名和密码的哈希值(以及一些盐，如果你愿意的话)在你发送给用户的cookie中。此外，您还需要在 cookie 中以纯文本形式(或以可逆方式加密)存储用户名，以了解哪个用户试图通过 cookie“登录”，并检查 cookie 中用户名和密码的哈希值以及数据库中的用户名和密码。如果该检查正确，则您将用户名存储在 session 中并且不再检查该用户的 cookie(至少对于该 session )。

因此，总体而言，您的代码可能如下所示:

登录.php

if (check_login($_POST['username'], $_POST['password'])) {
    // login correct
    $_SESSION['username'] = $_POST['username'];
    if (isset($_POST['remember_me'])) {
        // we hash the password because we **NEVER** store it in plain text anywhere
        // so when we would like to check if the cookie value is correct, we will not
        // be able to do so if the hash in the cookie was done from the plaintext
        // password.
        $value = sprintf('%s:%s', $_POST['username'], md5($_POST['username'].hash_password($_POST['password'])));
        setcookie('rememberme', $value);
    }
    redirect('/your/home/page.php'); // view Post/Redirect/Get design pattern
} else {
    // login incorrect, show error message and whatever...
}

在每个 php 文件的开头(或者更好，在用于引导您的应用程序的包含文件中)

if (isset($_SESSION['username'])) {
    // $_SESSION['username'] is logged in, proceed as you wish
} else if (isset($_COOKIE['rememberme'])) {
    // this user has checked the remember me feature some time ago in a previous login.
    // let's check if it is valid.
    list($username, $hash) = explode(':', $_COOKIE['rememberme']);

    // we need to get the password hash stored for this user (remember you **NEVER** store passwords in plain text
    $pwd_hash = obtain_password_hash_from_username($username);
    if ($hash == sprintf('%s:%s', $username, md5($username.$pwd_hash))) {
        // yeah, the user remembered is correct. We'll save it to the session to not do this shit again
        $_SESSION['username'] = $username;
    } else {
        // the cookie value is not correct so maybe an attacker is trying to fool us,
        // or the user changed his password. Whatever it is, we remove the cookie
        // because it's no longer valid
        setcookie('rememberme', '', time() - 3600);
    }

} else {
    // this user is neither logged in nor "remembered"
}

散列用户密码的方法由您决定。您可能喜欢纯 md5 或 sha、盐渍 md5 或 sha(更好)或一些耗时的方法，如河豚(推荐)。 为了散列 cookie，我使用了普通的 md5，但您可以选择前面描述的任何方法。

我想这就是全部。

关于php - 登录系统的概念和逻辑？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/5095503/