我有一个网站,用户可以选择让网站“记住我”(AKA 设置 cookie),根据该网站上的建议,我将数据库中的密码加密切换为 php 的 password_hash() 函数。现在,我不能将任何旧哈希相互比较,所以我使用 php 的password_verify()。密码验证需要明文和密码哈希。
如何将用户的密码存储在浏览器 cookie 中而不是纯文本?
【问题讨论】:
标签: php cookies encryption passwords
将密码存储在 cookie 本身是一个非常糟糕的主意,不要那样做。
在非常高的层次上,我会:
md5)让我们简要介绍一下。假设$hash 是存储在数据库中的密码哈希,并且您还拥有该用户的$userId 和$username 变量。
我会生成一个看起来像这样的 cookie:
$token = md5($userId . $username . $hash);
$cookie = $userID . "|" . $token; // 1|XXXXXXXX
现在当用户访问您的网站并且您检索此 cookie 时:
$parts = explode("|",$cookie);
$userId = $parts[0];
$token = $parts[1];
现在您知道用户是谁声称,但您需要验证。
从数据库中获取用户记录,然后重新生成token并进行比较。
// Assuming you just ran a SELECT query, and fetched the result into `$row`
$dbToken = md5($row['userId'] . $row['username'] . $row['hash']);
if($token == $dbToken) {
// The user is who he claims to be! Log them in
} else {
// The cookie token didn't match our re-generated token, don't trust this cookie
}
有意义吗?您可能需要根据您的情况对其进行一些修改。希望这至少可以帮助您朝着好的方向前进。
【讨论】:
print_r($_COOKIE) 以查看您实际拥有的内容。也许 cookie 数组不是您所期望的?也许verifyDatabase 没有被调用?我认为就代码的工作方式而言,您需要进行一些一般的 PHP 调试,与 cookie 令牌的具体工作方式无关。