php 安全基础 第七章 验证与授权 永久登录
7.4. 永久登录
永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。
永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。
图7-2. 攻击者通过重播用户的cookie进行未授权访问
据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。
不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。
永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。
第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。
为避免使用用户的密码,可以建立一个只供一次验证有效的标识:
CODE:
<?php
$token = md5(uniqid(rand(), TRUE));
?>
你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。
由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。
mysql> DESCRIBE users;
+------------+------------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+------------+------------------+------+-----+---------+-------+
| username | varchar(25) | | PRI | | |
| password | varchar(32) | YES | | NULL | |
| identifier | varchar(32) | YES | MUL | NULL | |
| token | varchar(32) | YES | | NULL | |
| timeout | int(10) unsigned | YES | | NULL | |
+------------+------------------+------+-----+---------+-------+
通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
CODE:
<?php
$salt = 'SHIFLETT';
$identifier = md5($salt . md5($username . $salt));
$token = md5(uniqid(rand(), TRUE));
$timeout = time() + 60 * 60 * 24 * 7;
setcookie('auth', "$identifier:$token", $timeout);
?>
当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
CODE:
<?php
/* mysql_connect() */
/* mysql_select_db() */
$clean = array();
$mysql = array();
$now = time();
$salt = 'SHIFLETT';
list($identifier, $token) = explode(':', $_COOKIE['auth']);
if (ctype_alnum($identifier) && ctype_alnum($token))
{
$clean['identifier'] = $identifier;
$clean['token'] = $token;
}
else
{
/* ... */
}
$mysql['identifier'] = mysql_real_escape_string($clean['identifier']);
$sql = "SELECT username, token, timeout
FROM users
WHERE identifier = '{$mysql['identifier']}'";
if ($result = mysql_query($sql))
{
if (mysql_num_rows($result))
{
$record = mysql_fetch_assoc($result);
if ($clean['token'] != $record['token'])
{
/* Failed Login (wrong token) */
}
elseif ($now > $record['timeout'])
{
/* Failed Login (timeout) */
}
elseif ($clean['identifier'] !=
md5($salt . md5($record['username'] . $salt)))
{
/* Failed Login (invalid identifier) */
}
else
{
/* Successful Login */
}
}
else
{
/* Failed Login (invalid identifier) */
}
}
else
{
/* Error */
}
?>
你应该坚持从三个方面来限制永久登录cookie的使用。
l Cookie需在一周内(或更少)过期
l Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
l 在服务器端限定cookie在一周(或更少)时间内过期
如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。
另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。
最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:
CODE:
<?php
setcookie('auth', 'DELETED!', time());
?>
上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
转载于:https://www.cnblogs.com/czh-liyu/archive/2008/04/02/1133973.html
php 安全基础 第七章 验证与授权 永久登录相关推荐
- php 安全基础 第七章 验证与授权 密码嗅探
7.2. 密码嗅探 尽管攻击者通过嗅探(察看)你的用户和应用间的网络通信并不专门用于访问控制,但要意识到数据暴露变得越来越重要,特别是对于验证信息. 使用SSL可以有效地防止HTTP请求和回应不被暴露 ...
- 计算机应用基础第七章自测题,计算机应用基础 第七章.doc
计算机应用基础 第七章 第七章自测题 1.HTML是指( ). A.超文本标记语言 B.超文本文件 C.超媒体文件 D.超文本传输协议 2.Internet中URL的含义是( ). A.统一资源定位器 ...
- 如果用户计算机已接入,计算机应用基础第七章复习题.doc
计算机应用基础第七章复习题 计算机应用基础第七章复习题 一.单项选择题 ? 1.计算机网络的主要目的是 . ? A.使用计算机更方便 B.学习计算机网络知识 ? C.测试计算机技术与通信技术结合的效果 ...
- β射线与哪些物质可产生较高的韧致辐射_北京大学-应用化学基础-第七章 放射性与辐射防护课件.ppt...
北京大学-应用化学基础-第七章 放射性与辐射防护课件 G-M管主要有圆柱型和钟罩型两种. 圆柱型主要用于?射线测量,而钟罩型由于有入射窗,主要用于?,?射线的测量. 7.4.1 自熄G-M计数管的典型 ...
- 计算机应用基础第七章自测题,计算机应用基础习题第七章.doc
计算机应用基础习题第七章 第7章 如何使用 WinRAR 快速压缩当您在文件上点右键的时候,您就会看见图 中的部分就是 WinRAR 在右键中创建的快捷键. ? 图 右键菜单 想压缩文件的时候,在文件 ...
- java第七章jdbc课后简答题_jsp编程基础第七章习题
第七章数据库访问 一.选择题 1.下面哪一项不是JDBC的工作任务?() A)与数据库建立连接B)操作数据库,处理数据库返回的结果 C)在网页中生成表格D)向数据库管理系统发送SQL语句 2.下面哪一 ...
- 计算机图形学基础第七章ppt,计算机图形学 -第七章讲义ppt课件
<计算机图形学 -第七章讲义ppt课件>由会员分享,可在线阅读,更多相关<计算机图形学 -第七章讲义ppt课件(54页珍藏版)>请在人人文库网上搜索. 1.第七章 三维观察,本 ...
- 计算机硬件基础第七章(未完成版)
一.简答题(20分) 1.归纳总结CPU和外设交换数据的传送方式的优缺点. 1.程序查询方式 优点: 当计算机工作任务较轻或CPU不太忙时,程序拆线呢输入输出传送方式能较好地协调外设与CPU之间的定时 ...
- Python编程基础 第七章 编程练习 用户从键盘上输入一个字符串,如果该字符串的内容不是有效的数值,则输出invalid;如果是有效的数值,再判断其是否是整数,如果是整数则输出yes,否则输出no。
题目内容: 编写程序实现下面功能:用户从键盘上输入一个字符串,如果该字符串的内容不是有效的数值,则输出invalid:如果是有效的数值,再判断其是否是整数,如果是整数则输出yes,否则输出no. 输入 ...
最新文章
- Java 汉子转拼音
- python可变参数_Python 的四种共享传参详解
- 硬核塔防策略手游《明日方舟》体验分析
- 我如何使用回归分析通过Scikit-Learn和Statsmodels分析预期寿命
- 360安全卫士电脑版_卸载360安全卫士!保护你的电脑安全
- BitMEX将于3月份分批推出DOT、YFI、UNI等六个币种的双币种永续合约
- UVa 1605 (构造) Building for UN
- Android Studio全局搜索Ctrl+Shift+F占用解决
- MuKEA: Multimodal Knowledge Extraction and Accumulation for Knowledge-based VQA 论文阅读 From CVPR 2022
- linux解决笔记本pwm背光,担心PWM调光屏幕闪瞎眼?联想这些ThinkPad笔记本要注意...
- JPG/JEPG在十六进制文件格式
- 颜色搭配之BUTTONS 1.0
- # Ubuntu执行sudo apt-get update提示:E: 仓库 “https://mirrors.ustc.edu.cn/ubuntu focal Release” 没有 Release
- 欧几里得算法及其扩展欧几里得算法——数论
- PLX桥芯片信息总结
- 4412开发板UT-Exynos4412三星A9四核4412开发平台调试android4.0GPS功能信号超强
- 北京大学计算机系丁万东,第八届北京大学程序设计大赛圆满落幕 陈瑜希等同学获冠军...
- 项目的质量控制与质量保证的区别与联系
- linux maskrom模式,微雪电子RK3308主板CC启动模式介绍
- 东方联盟为何那么团结?郭盛华是怎样做到的?
热门文章
- 联想计算机CDROM启动,联想电脑光驱启动问题?
- MongoDB 字段拼接 $concat(aggregation)
- MongoDB学习1——Windows 下配置及启动mongodb服务器
- STM32F1笔记(五)外部中断EXTI
- linux跑caffe模型的步骤,Caffe初步实践——使用训练好的模型完成语义分割任务
- include函数_include()函数以及JavaScript中的示例
- C++ 模板的局限性以及解决01
- c++详解【new和delete】
- c++中的queue容器
- Qt Creator 窗体控件自适应窗口大小布局