Ich habe ein Login-System für meine Website, die Details des Benutzers, die in der Datenbank gespeichert sind userid (einzigartig für jeden Benutzer und identifier), E-Mail-Adresse (unique), Anzeigename (nicht eindeutig), Passwort und membersince.
Was soll ich nun in den Cookies speichern? Ich habe überlegt, nur die Benutzer-ID im Cookie mit einem Ablaufdatum zu speichern und dann, wenn der Benutzer meine Website nach der Anmeldung wieder besucht, nach dem Cookie zu suchen und ihn einzuloggen (was für mich nicht richtig aussieht) und den Cookie zu zerstören wenn er beschließt, sich auszuloggen.
* Eine kleine Erklärung wäre auch sehr hilfreich. DankWas muss ich in Cookies speichern, um "Remember me" während der Benutzeranmeldung zu implementieren?
Was muss ich in Cookies speichern, um "Remember me" während der Benutzeranmeldung zu implementieren?
Antwort
Sie können die Benutzer-ID immer nur in einem Cookie speichern, wenn Sie sie mit einem geheimen Schlüssel signieren, den nur Ihre Anwendungen kennen. Ansonsten ist es für den Benutzer möglich, den Cookie in irgendwas zu ändern und sich als jemand anderen einzuloggen. Wenn Sie also die Benutzer-ID speichern möchten, speichern Sie auch einen Hash der Benutzer-ID mit dem geheimen Schlüssel (idealerweise mit HMAC) und wenn Sie sie anmelden möchten, berechnen Sie den gleichen Hash und vergleichen Sie ihn mit dem Hash aus dem Cookie. Eine andere Lösung besteht darin, ein zufälliges Token zu generieren, es in der Datenbank zu speichern und dieses im Cookie zu verwenden. Wenn es lang und zufällig genug ist, besteht kaum eine Chance, dass jemand das Token einer anderen Person erraten würde.
Vielen Dank Mann – halocursed
Vielen Dank! Aber was meinst du mit "Benutzer-ID mit dem geheimen Schlüssel". Wenn ich ein schlechter Kerl bin und den ganzen Keks ausstähle und diese Hash-Zeichenfolge bekomme, um vorzutäuschen, dass ich der angemeldete Benutzer bin, kann der Server wissen, dass ich die falsche Person bin? – Jaskey
Der Zweck des geheimen Schlüssels besteht darin, sicherzustellen, dass Sie sich nicht als Benutzer anmelden können, indem Sie den Cookie setzen. Ohne den geheimen Schlüssel zu kennen, haben Sie keine Möglichkeit, den Cookie zu erstellen. Wenn Sie den gesamten Cookie für einen vorhandenen Benutzer erstellen, können Sie sich natürlich als dieser Benutzer anmelden. Es gibt mehrere Möglichkeiten, dies zu verhindern: 1) das Cookie nach einiger Zeit ablaufen lassen (Timestamp in das Cookie einbinden), 2) das Cookie für eine bestimmte IP-Adresse spezifisch machen (wiederum die IP-Adresse im Cookie codieren)), 3) mach es für eine bestimmte User-Agent-Zeichenfolge spezifisch (dies kann jedoch leicht gefälscht werden) –
PHP verfügt über eine integrierte in Session-Management, das genau das tut, was Sie suchen:
http://us.php.net/manual/en/book.session.php
Ich würde nicht empfehlen, die user_id im Cookie gespeichert werden. Stattdessen können Sie ein eindeutiges Token generieren und das Token den Benutzern in Ihrer Datenbank zuordnen. Aktivieren Sie die Option &, um das Token bei jeder Anforderung neu zu generieren. Auch dies ist ein wenig redundant, da die Sitzungsverwaltung bereits in PHP integriert ist.
Können Sie ein wenig Erklärung dazu geben? – halocursed
Fügen Sie einfach die Cookie-Gültigkeitsdauer auf 2 Tage oder die Anzahl der Tage hinzu, an denen Sie sich an den Benutzer erinnern und den Cookie speichern möchten.
PHP '$ _SESSION tut dies für Sie. Sie können sogar Ihre eigene Sitzungsklasse schreiben, wenn Sie die volle Kontrolle haben möchten.
Ein kleines Tutorial finden Sie hier: http://www.tizag.com/phpT/phpsessions.php
Hier ist ein kleines Beispiel mysql zu speichern Sitzungen statt PHP-Standard (Dateien in/tmp) zu verwenden: http://www.hawkee.com/snippet/2018/
- 1. Implementieren von remember-me in Phoenix
- 2. ASP.NET Web API "Remember Me" -Funktionalität mit Cookies
- 3. Ist es möglich, "Remember Me" mithilfe von Jquery-Cookies zu implementieren?
- 4. asp.net "Remember Me" Cookie
- 5. Remember me Funktionalität und Token in Angularjs
- 6. Remember Me - Fetch Benutzername - MVC
- 7. Benutzeranmeldung in Silverlight speichern 4
- 8. PHP Login-System: Remember Me (persistente Cookie)
- 9. Spring Security Remember-me mit Ajax Login
- 10. Spring Security 2.0.6 Probleme mit Remember Me
- 11. Spring Security Remember Me Service ohne HttpSession
- 12. Wie kann ich ein gesichertes "Remember Me" -System mit PHP erstellen?
- 13. Sitecore 6.6 InvalidOperationException: ‚Remember Me‘ Checkbox
- 14. Best Practice zur Implementierung eines sicheren "Remember Me"
- 15. Silex/Symfony2 Remember Me Authentifizierung Benutzeroberfläche RedBean Wrapper
- 16. "Remember me" mit ASP.NET MVC Authentifizierung funktioniert nicht
- 17. ASP.NET Identity 2 Remember Me - Benutzer wird abgemeldet
- 18. Django "Remember Me" mit integrierter Login-Ansicht und Authentifizierungsformular
- 19. Sitzung verwenden, um Cookies zu speichern und Login zu überprüfen
- 20. Hinzufügen von Cookies zu einer js-Geige, um zu speichern, was der Benutzer tippt
- 21. ASP.NET MVC - "Remember me" funktioniert nur auf localhost
- 22. Wie erhalte ich pycurl, um Cookies zu senden, aber nicht in der Datei zu speichern?
- 23. Was muss ich programmieren, um HTTPS zu verwenden?
- 24. Wie Remember Me arbeitet mit Restful Web Service
- 25. Was ist der beste Weg, um vorberechnete Daten zu implementieren?
- 26. Verwalten von Cookies in Java
- 27. Wie bekomme ich das Rememberable-Modul von Devise, um http_only für den Remember Me-Cookie zu verwenden?
- 28. Ist es möglich zu finden, ob der Twitter-Button "Remember me" angeklickt wurde?
- 29. Was muss ich tun, um die rawQuery() -Methode von SQLite zu implementieren?
- 30. Wie implementiere ich eine "Remember me" -Funktion in einer Android-Aktivität?
Scheint, wie Sie bereits beantwortet haben die Frage selbst, speichern Sie die Benutzer-ID. – TechTravelThink
Dies ist nicht sicher - siehe Antworten unten. – Jon