8
私はPHPがどのようにUnicodeをサポートしているかを学んだのを忘れてしまいましたが、私は「Remember Me」のクッキーをもう少し安全にすることを掘り下げてきました。しかし、私が理解していないことがいくつかあります。自分の思いつきのうちにいくつかの提案や意見があります。PHP:私とセキュリティを覚えている?
1)クッキーを伴わない「Remember Me」機能を採用する方法はありますか?認証Cookieを格納する際に明らかなセキュリティ上の欠陥があるため、興味があります。セキュリティリスクはまったくありません。
2)私は銀行や「機密性の高い」情報を扱っていないため、よりハイプロファイルの領域にユーザーがパスワードを入力するように要求する必要がありますか?とにかく2分後にログインするように頼むと、ログインを思い出すことは無駄になると思われます。
3)(「まったく」以外の)認証クッキーを保存するための絶対的な最良の方法とは何ですか?私は現在、クッキー内に単一のトークンを設定するためにその領域をコーディングしています(time()、そのユーザエージェント、remote_addr、およびsalt-sha256を使用してハッシュされています)。ユーザが戻ったときにトークンの「セッション」テーブルをチェックし、IPとIPを照合してログインします。トークンは存在しますが、IPが一致しない場合は、クッキーをサイレントに設定してログインを要求します彼らが持っていなかった場合。
ありがとうございました。
から(どのようなCookieの値で重要なのは、それがランダムであるということですので、あなたの世代方法より予測可能にするを変更するべきである私は、ここでのポイントを誤解しました)可能な限り、本当に、それは複雑です。例えば、https://github.com/delight-im/PHP-Authを見てください。あなたがやろうとしていることのためにクライアント側にいくつかの永続ストレージが必要です。したがって、クッキーは理想的な選択です。 – caw