首頁 > 後端開發 > php教程 > 如何設定較安全的Cookie以儲存登陸狀態?

如何設定較安全的Cookie以儲存登陸狀態?

WBOY
發布: 2016-10-10 11:55:56
原創
1096 人瀏覽過

主要針對兩種情形:

  1. 用戶將Cookie進行破解

  2. 惡意使用者劫持Cookie冒充登陸

怎麼設定Cookie才能記住使用者的登陸狀態並相對安全呢?

回覆內容:

主要針對兩種情形:

  1. 用戶將Cookie進行破解

  2. 惡意使用者劫持Cookie冒充登陸

怎麼設定Cookie才能記住使用者的登陸狀態並相對安全呢?

回答Session的朋友們,我猜測題主一定是希望使用者能夠保存登入態,以便下次造訪的時候自動登入。你們提Session,請問以下問題如何解決?

  • Session 超時怎麼算?

  • SessionID 也需要存在Cookie中。

關於題主的問題:

  1. 加密的問題,AES加密即可,強壯的密鑰不會被破解,具體加/解密請看 @eechen 的https://segmentfault.com/q/10...

  2. 防止被XSS注入後,得到Cookie。
    httponly即可,session_id和登入態都需要httponly,javascript無法取得到具備httponly屬性的cookie

php的原生 session_id 並非 httponly,所以 laravel 中自己實作了 session 的所有邏輯,並支援database、file、redis等驅動

session

session保存在服務端相對安全。

cookie格式例如user_identity|expires_timestamp 對需要encode的部分進行加密。
驗證的話再解密驗證

設定httponly,禁止js訪問cookie
使用HTTPS,防止中間人攻擊

使用者登入後,產生一個加密字串的授權令牌token儲存到cookie中,下次開啟讀取cookie驗證令牌是否有效

<code>1. 用户将Cookie进行破解

对于这种情况,可以考虑的是加密的复杂度,以及校验逻辑的升级。比如,将访问时间、客户端IP这些东西都作为Cookie 加密的一部分,增加破解难度。</code>
登入後複製
<code>2. 恶意用户劫持Cookie冒充登陆

因为Cookie 的加密是结合了客户端的IP 信息的。所以,即使Cookie被用到其他的机器来访问,但是IP 本身也是不匹配的,验证无法通过。

同时,我们还可以考虑在服务端,SESSION 存储该Cookie 的信息,用来跟上传信息进行比对,检验cookie信息是否有被篡改过。</code>
登入後複製

這中間的方法各種各樣,只是需要分析我們要考慮到什麼地步。

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板