php 保持登入

须要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.

这个session的cookie也是能够设置过时时间的,好比过时时间设置为3600秒:

session_set_cookie_params(3600);

这样关闭浏览器后在一小时内从新打开这个cookie依旧有效.

PHP session是每个PHPSESSID默认对应一个保存会话数据的文件. 也就是说不一样的PHPSESSID的会话数据是不共享的. 好比你用PHP session实现一个购物车或者视频观看记录的功能, 你把购物车的数据保存在会话文件里,那你在其余设备或浏览器登陆后是看不到你的购物车数据的. 这时你应该把购物车数据保存在数据库里.

下面说说本身怎么基于数据库实现一套自定义的cookie会话机制:

cookie里存储用户ID(明文)和用户的盐值(哈希). 须要高安全性的话,还能够用MCRYPT_BLOWFISH对整个cookie的内容作一次加密. 这个cookie既要作到能够认证用户,又要作到不能被伪造. 用户的盐值是在用户注册时,为了保护密码,而随机生成并肯定下来,保存在用户表里对应用户的一个字段数据.

//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,全部用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//若是你须要高安全性,还可使用MCRYPT_BLOWFISH对整个cookie的内容作一次加密.
$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过时时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);

其中用户的盐,应用全局的盐,以及MCRYPT_BLOWFISH加密的密钥$key,都是随机生成并肯定下来的. 算法好比:

sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )

生成的是一个进程ID+随机数+基于当前时间微秒数+熵的一个哈希值.

验证用户的时候就是先用私钥解密$_COOKIE['cookie_name'], 而后base64_decode拿到用户ID, 而后根据用户ID查询用户的盐, 而后把这个盐通过一样的哈希算法后跟cookie里的盐$cookie_salt对比, 若是一致,则断定用户的cookie有效.

//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));