我正在考虑放弃 PHP 的 $_SESSION (即服务器端 session 处理,以添加一些与语言无关的风格)并使用签名 cookie,因为我听说过很多关于它的好消息它们(Flickr 使用它们,所以它们对我来说也应该足够好了)。
我了解该技术的基本背景:自由使用 cookie 将键值对从客户端传递到服务器,并对它们进行签名以确保值不被篡改。
但是实现签名部分的好方法是什么?还;由于流量可能是 HTTP,有没有一种好的方法可以使用此方法发送敏感数据(例如用户密码),同时防止 cookie 窃取和/或篡改?
最佳答案
为什么要麻烦?
我不会将这种技术用于敏感数据。不过,它与常规 session 结合起来很有用 - 您可以为客户端提供一个具有常规 session ID 的 cookie,但也可以包含您的应用程序在每个页面上需要的所有键/值对。这样,您就可以避免每个页面请求都占用 session 存储。
您的目标应该是保持数据量非常紧张,因为它会随每个请求一起发送。
考虑到这一点,接下来......
使用哈希对数据进行签名
如果数据不敏感,您可以使用 sha1 对值进行签名由键/值对和共享 secret 组合而成的哈希值。例如
$values=array(
'user_id'=>1,
'foo'=>'bar'
);
$secret='MySecretSalt';
$plain="";
foreach($values as $key=>$value)
{
$plain.=$key.'|'.$value.'|';
}
$plain.=$secret;
$hash=sha1($plain);
现在为客户端提供一个包含所有值和哈希值的 cookie。您可以在 cookie 出现时检查哈希值。如果您根据客户端提供的值计算出的哈希值与预期的哈希值不匹配,则您知道这些值已被篡改。
加密敏感数据
对于敏感数据,您需要对值进行加密。查看mcrypt扩展提供了很多加密功能。
Cookie 盗窃
关于 cookie 窃取,如果您将用户凭据放入 cookie 中并信任它,那么获得该 cookie 的人就可以冒充该用户,直到密码被更改。一个好的做法是记住您如何对用户进行身份验证,并且仅在用户明确登录时才授予某些权限。例如,对于论坛,您可以允许某人发帖,但不要更改他们的帐户详细信息(例如电子邮件地址)。
还有其他用于“自动登录”cookie 的技术,包括为此类 cookie 提供一个您只允许使用一次的 token 值。 Here's a good article关于该技术。
您还可以考虑将客户端 IP 包含在签名 cookie 中,如果它与提供 cookie 的 IP 不匹配,您可以让他们再次登录。这提供了更多保护,但对于明显 IP 地址不断变化的人来说不起作用。您可以将其设为可选功能,并为用户提供选择退出的方式。只是一个闲想,我还没有看到在实践中这样做:)
有关解释 session 盗窃、劫持和固定的好文章,请参阅 Sessions and Cookies它提供了更多可供尝试的技术,例如使用 User-Agent header 作为附加签名。
关于php - 关于签名 cookie 而不是 session 的提示,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/523629/