Giả sử tên của bảng cơ sở dữ liệu cho cookie liên tục là pcookies với các cột sau:
- cookie_id (CHAR)
- user_id (INT)
- hết hạn (DATETIME)
- muối (CHAR)
Các bước tạo cookie:
- Sau khi đăng nhập thành công, hãy tạo một bản ghi cookie trong cơ sở dữ liệu dưới một id duy nhất. Bạn có thể tạo nó bằng hash_hmac ('sha512', $ token, $ salt) trong đó $ token =uniqid ($ user_id, TRUE) và $ salt =md5 (mt_rand ()).
- Lưu trữ 'id người dùng', 'thời gian hết hạn' và 'muối' cùng với 'id cookie' trong cơ sở dữ liệu.
- Lưu trữ 'id cookie' và 'mã thông báo' trong cookie.
Các bước xác thực:
- Nếu tìm thấy một cookie liên tục, trước tiên hãy kiểm tra xem bản ghi có sẵn trong cơ sở dữ liệu hay không.
- Nếu có bản ghi thì hãy kiểm tra xem cookie có hết hạn hay không.
- Nếu cookie không hết hạn, hãy xác thực id cookie bằng $ cookie_id ==hash_hmac ('sha512', $ token_from_cookie, $ salt_from_db).
- Sau khi cookie được xác thực, hãy xóa nó khỏi cơ sở dữ liệu và tạo một cookie mới theo các bước tạo cookie ở trên.
- Nếu cookie được phát hiện là không hợp lệ, hãy xóa cookie khỏi thiết bị và xóa tất cả các bản ghi cookie khác của người dùng khỏi cơ sở dữ liệu, thông báo việc sử dụng về một nỗ lực đánh cắp và tiến hành quy trình đăng nhập thủ công.
Ghi chú:
- Khi có phiên, hãy bỏ qua việc kiểm tra cookie.
- Sau khi đăng xuất, hãy xóa cookie cùng với bản ghi cơ sở dữ liệu.
- Không bao giờ cho phép người dùng thực hiện các yêu cầu nhạy cảm như thay đổi mật khẩu hoặc xem thông tin thẻ tín dụng từ đăng nhập cookie liên tục. Gọi mật khẩu để đăng nhập và thêm cờ trong phiên để cho phép tất cả các hoạt động trở đi.
