¿Cómo implementar la función recordarme?

Question

Duplicar posible:
What is the best way to implement “remember me” for a website?

Cada usuario tiene Steam ID 32 caracteres (hecho de la siguiente manera: md5("salt" . $username . $user_password . "salt2");). Y almaceno este valor bajo el campo 'unique_id' en los usuarios de la tabla. ¿Es una buena manera de asignar este valor a las cookies del usuario y dejar que inicie sesión solo si lo tiene asignado? Y, por supuesto, verifíquelo si ese valor existe en la base de datos.

No creo que sea una buena práctica, porque si alguien roba su cookie, podrán iniciar sesión en su cuenta.

¿Cuál es la otra/mejor solución? Por supuesto, lo más seguro es, probablemente, almacenarlo en sesiones, pero quiero implementar esta función de recordarme.

Gracias.

Answer 1

nombre

Say de la tabla de base de datos para la cookie persistente es pcookies con las siguientes columnas:

• cookie_id (CHAR)
• user_id (INT)
• caducidad (DATETIME)
• sal (CHAR)

pasos de creación de cookies:

1. Después del inicio de sesión exitoso, cree un registro de cookies en la base de datos con una identificación única. Puede generarlo con hash_hmac ('sha512', $ token, $ salt) donde $ token = uniqid ($ user_id, TRUE) y $ salt = md5 (mt_rand()).
2. Almacene 'id de usuario', 'tiempo de expiración' y 'sal' junto con 'id de cookie' en la base de datos.
3. Almacenar 'cookie id' y 'token' en la cookie.

pasos de autenticación:

1. Si hay una cookie persistente encontrado, comprobar primero si el registro está disponible en la base de datos o no.
2. Si el registro está disponible, verifique si la cookie expira o no.
3. Si la cookie no caduca, valide la id de cookie por $ cookie_id == hash_hmac ('sha512', $ token_from_cookie, $ salt_from_db).
4. Una vez que se valida la cookie, elimínela de la base de datos y cree una nueva cookie de acuerdo con los pasos de creación de cookies anteriores.
5. Si la cookie se encuentra como no válida, borre la cookie del dispositivo y elimine todos los demás registros de cookies del usuario de la base de datos, observe el uso de un intento de robo y proceda al proceso de inicio de sesión manual.

Notas:

• Cuando sesión está disponible, hacer caso omiso de comprobar galletas.
• Después del cierre de sesión, borre la cookie junto con el registro de la base de datos.
• Nunca permita que los usuarios ejecuten solicitudes confidenciales como cambiar la contraseña o ver información de la tarjeta de crédito desde un inicio de sesión persistente de cookies. Invoque la contraseña para iniciar sesión y agregue un indicador en la sesión para permitir todas las operaciones posteriores.

Answer 2

Estos dos mensajes proporcionan excelentes directrices de aplicación para las cookies de inicio de sesión persistentes:

• http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
• http://jaspan.com/improved_persistent_login_cookie_best_practice

(Leer en el orden dado, ya que el segundo mejora la primera uno.)