我想在登录前添加“记住我”复选框选项。
在用户的浏览器中安全存储Cookie的最佳方法是什么?
例如,Facebook有“记住我”复选框,这样每次进入facebook.com时,您都已登录。
我当前的登录使用简单的会话。
答案 0 :(得分:40)
更新(2017-08-13):要理解为什么我们要将
selector
和token
分开,而不是仅使用token
,请阅读有关SELECT查询的this article about splitting tokens to prevent timing attacks。
我将提取本博文about secure long-term authentication中概述的策略,因为它涵盖了很多理由,我们只对"remember me"部分感兴趣。
我们想要一个来自用户的单独表格'看起来像这样的表(MySQL):
CREATE TABLE `auth_tokens` (
`id` integer(11) not null UNSIGNED AUTO_INCREMENT,
`selector` char(12),
`token` char(64),
`userid` integer(11) not null UNSIGNED,
`expires` datetime,
PRIMARY KEY (`id`)
);
这里重要的是selector
和token
是单独的字段。
如果您没有random_bytes()
,只需抓取random_compat的副本。
if ($login->success && $login->rememberMe) { // However you implement it
$selector = base64_encode(random_bytes(9));
$authenticator = random_bytes(33);
setcookie(
'remember',
$selector.':'.base64_encode($authenticator),
time() + 864000,
'/',
'yourdomain.com',
true, // TLS-only
true // http-only
);
$database->exec(
"INSERT INTO auth_tokens (selector, token, userid, expires) VALUES (?, ?, ?, ?)",
[
$selector,
hash('sha256', $authenticator),
$login->userId,
date('Y-m-d\TH:i:s', time() + 864000)
]
);
}
if (empty($_SESSION['userid']) && !empty($_COOKIE['remember'])) {
list($selector, $authenticator) = explode(':', $_COOKIE['remember']);
$row = $database->selectRow(
"SELECT * FROM auth_tokens WHERE selector = ?",
[
$selector
]
);
if (hash_equals($row['token'], hash('sha256', base64_decode($authenticator)))) {
$_SESSION['userid'] = $row['userid'];
// Then regenerate login token as above
}
}
我们为选择器使用9个字节的随机数据(base64编码为12个字符)。这提供了72位密钥空间,因此提供了2个 36 位的抗冲突性(生日攻击),比我们的存储容量(integer(11) UNSIGNED
)大16倍。
我们为实际的身份验证器使用33字节(264位)的随机性。在所有实际情况下,这都应该是不可预测的。
我们在数据库中存储验证者的SHA256哈希值。这可以降低信息泄露后用户冒充的风险。
我们重新计算存储在用户cookie中的验证者值的SHA256哈希值,然后使用hash_equals()
将其与存储的SHA256哈希值进行比较,以防止时间攻击。
我们将选择器与身份验证器分开,因为数据库查找不是常量时间。这消除了定时泄漏对搜索的潜在影响,而不会造成严重的性能损失。
答案 1 :(得分:36)
这个问题被问了很多,这里有一些链接给你。
在这个问题的答案中也收集了一些很好的资源: The Definitive Guide To Website Authentication