http://www.jackxiang.com/index.php zh-cn http://www.jackxiang.com/post// jack <xdy108@126.com> Mon, 28 Apr 2014 02:01:46 +0000 http://www.jackxiang.com/post// ————————————————————————————————————————————————————
很多主流的网站都支持用户自动登录的功能，浏览器登录过一次之后，下次再访问就不用再输用户名密码了。
有一种糟糕的做法：
用户登录后在服务器端用session保存用户的登录数据，在客户端存键为sessionid的cookie；服务器处理请求时检查这个请求带来的sessionid，看是不是保存了对应的数据，如果有就自动登录，没有就让输入用户名密码。
这个做法，只要拿了别人的sessionid就可以用来登录了，非常不安全。
用户数据很重要，那些巨头的网站是怎么实现自动登录的呢？

回答一：
基本上都是通过保存sessionid来实现，如果想安全性好一点可以在服务器端做一个ip验证，看看两次登陆的ip是否一样，不过这个实现起来有问题，如果你是用着笔记本电脑，ip老变就有问题了，所以还是保存一个seesion比较靠谱。

如果其他人能拿到你的sessionid，那么也代表他完全可能拿到你的用户名密码，所以你的担心没有必要。

回答二：
我告诉你开源php框架的symfony中的一个很有名的扩展sfGuard是怎么做的，可能可以给你提供一些思路：
首先你的数据库需要一个rememberkey表：它包含了一下三个字段：
user_id, remember_key(string(32)，unique), ip_address, 当然还有两个时间字段created_at和updated_at那几乎是必须有的就不提了。

如果用户在登录的时候勾选了remember me
那么用md5一个随机值，比如timestamp + rand(0, 9999999)产生一个remember_key。因为随机的变化还是很大的，所以remember_key几乎不可能会出重复的key。
然后把此key在客户端cookie和数据库各存放一份，cookie的存放时间就是你记住密码设置的时间长度，另外ip要记在数据库里面。

如果用户点击退出，那么在删除session的同时，也把cookie里的remember_key以及数据库对应的key那条记录删除，当然为了防止垃圾数据越来越多，此时也可以顺便把所有过了失效的key全部删除

如果用户下次访问页面但是session已经失效，那么检测是否有remember_key这个cookie，如果有的话，拿这个值以及访问的ip去数据库里找记录，如果找到了，那么这条记录的user_id对应的user就自动登录了。

当然你可以做一些修改，比如ip不见得是必须的，因为国内的用户ip会老变嘛。

来自：http://segmentfault.com/q/1010000000094837 ]]> http://www.jackxiang.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.jackxiang.com/post//#blogcomment