我正在尝试安全地让用户使用php登录,但我担心安全性。
所以我一直在这个question/answer。但还有一些我不太了解的事情。 请记住,我不是一个专家,所以请说好像在和一个孩子说话。
function onLogin($db, $user) {
$token = GenerateRandomToken($db); // generate a token, should be 128 - 256 bit
storeTokenForUser($db, $user, $token);
$cookie = $user . ':' . $token;
$mac = hash_hmac('sha256', $cookie, 'SECRET_KEY');
$cookie .= ':' . $mac;
setcookie('rememberme', $cookie, time() + (86400 * 7));
}
我的问题是,这是如何安全的?我将它存储在一个cookie中,据我所知,用户可以看到它。 hash_hmac中的“SECRET_KEY”必须与它有关,但我没有找到有关如何在手册中使用它的更多信息。
hash_hmac中的“SECRET_KEY”是否可以保护我的cookie?如果是这样,我该如何使用它?每次都会一样吗?或者我应该为它生成随机ID?
感谢您的时间。非常感谢。