长期cookie

Question

我正在寻找一种让用户能够轻松连接到我的应用程序的方法，但这种方法很少。我想要做的是能够在用户的计算机上存储一个有效期为 1 年的 cookie。如果他们在 cookie 处于活动状态时访问网站，他们将自动登录。

我建议的解决方案是：首次登录时，使用用户 IP 地址、上次登录日期和随机数创建一个 cookie，所有这些都哈希在一起。我还将他们的用户 ID 和 IP 地址存储在 cookie 中。这些值也将存储在数据库中。如果几个月后他们再次访问该站点，IP 地址、ID 和哈希值与数据库中的值匹配，那么他们将自动登录。将计算新的哈希值。如果其中任何一个不匹配，系统将提示用户重新登录。

这种设计是否存在明显的安全缺陷？我不担心IP地址改变，这将是为大学校园里的教授准备的。

提前致谢， ——戴夫

Answer 1

您的问题并没有明确说明该系统与任何其他标准长寿命 cookie 有何不同。这些在网络上使用，没有重大的安全问题，所以我认为您没有理由不能以类似的方式使用 cookie。

Answer 2

是否存在任何明显的安全缺陷
这个设计？

不。

Answer 3

我想说，如果有人弄清楚了这个系统，这绝对是一个安全风险。老实说，我会重新考虑该设置，至少将其存储在数据库部分。更不用说 cookie 很少会在某人的计算机上保留一年的事实，大多数人清理它们的频率要高得多。

但既然你问了，创建它非常简单：

$expire = time()+(60*60*24*365);

setcookie("login", "mycookie", $expire, "", "yoursite.com" );

你可以插入你正在谈论的令牌，而不是“mycookie”。希望能有所帮助。