php - 关于签名 cookie 而不是 session 的提示

Question

我正在考虑放弃 PHP 的 $_SESSION (即服务器端 session 处理，以添加一些与语言无关的风格)并使用签名 cookie，因为我听说过很多关于它的好消息它们(Flickr 使用它们，所以它们对我来说也应该足够好了)。

我了解该技术的基本背景:自由使用 cookie 将键值对从客户端传递到服务器，并对它们进行签名以确保值不被篡改。

但是实现签名部分的好方法是什么？还;由于流量可能是 HTTP，有没有一种好的方法可以使用此方法发送敏感数据(例如用户密码)，同时防止 cookie 窃取和/或篡改？

Answer 1

为什么要麻烦？

我不会将这种技术用于敏感数据。不过，它与常规 session 结合起来很有用 - 您可以为客户端提供一个具有常规 session ID 的 cookie，但也可以包含您的应用程序在每个页面上需要的所有键/值对。这样，您就可以避免每个页面请求都占用 session 存储。

您的目标应该是保持数据量非常紧张，因为它会随每个请求一起发送。

考虑到这一点，接下来......

使用哈希对数据进行签名

如果数据不敏感，您可以使用 sha1 对值进行签名由键/值对和共享 secret 组合而成的哈希值。例如

$values=array(
  'user_id'=>1,
  'foo'=>'bar'
);
$secret='MySecretSalt';

$plain="";
foreach($values as $key=>$value)
{
    $plain.=$key.'|'.$value.'|';
}
$plain.=$secret;
$hash=sha1($plain);

现在为客户端提供一个包含所有值和哈希值的 cookie。您可以在 cookie 出现时检查哈希值。如果您根据客户端提供的值计算出的哈希值与预期的哈希值不匹配，则您知道这些值已被篡改。

加密敏感数据

对于敏感数据，您需要对值进行加密。查看mcrypt扩展提供了很多加密功能。

Cookie 盗窃

关于 cookie 窃取，如果您将用户凭据放入 cookie 中并信任它，那么获得该 cookie 的人就可以冒充该用户，直到密码被更改。一个好的做法是记住您如何对用户进行身份验证，并且仅在用户明确登录时才授予某些权限。例如，对于论坛，您可以允许某人发帖，但不要更改他们的帐户详细信息(例如电子邮件地址)。

还有其他用于“自动登录”cookie 的技术，包括为此类 cookie 提供一个您只允许使用一次的 token 值。 Here's a good article关于该技术。

您还可以考虑将客户端 IP 包含在签名 cookie 中，如果它与提供 cookie 的 IP 不匹配，您可以让他们再次登录。这提供了更多保护，但对于明显 IP 地址不断变化的人来说不起作用。您可以将其设为可选功能，并为用户提供选择退出的方式。只是一个闲想，我还没有看到在实践中这样做:)

有关解释 session 盗窃、劫持和固定的好文章，请参阅 Sessions and Cookies它提供了更多可供尝试的技术，例如使用 User-Agent header 作为附加签名。