Как сохранить пользователя в системе, когда он вернется с тем же устройством?
Я использую PHP, AJAX и JS для разработки PWA. Я хочу, чтобы состояние входа пользователя в систему оставалось постоянным, когда он/она возвращается в приложение PWA. Прямо сейчас я делаю это с помощью токена доступа и сохраняю его в файле cookie с помощью HttpOnly через PHP. Определение здесь -
- Пользователь вводит данные и авторизуется в приложении.
- Эти данные отправляются на серверную часть PHP через AJAX.
- Код входа в серверную часть проверяет данные из базы данных, и если они совпадают, то код создает случайный хешированный токен.
- Бэкэнд-код сохраняет этот хеш в файле cookie с HttpOnly и безопасным флагом.
- Затем пользователю предлагается сообщение об успешном входе в систему.
- Когда в следующий раз пользователь вернется в веб-приложение, PHP-код сервера ищет это хэш-значение входа, сохраненное в файле cookie, и находит соответствующего пользователя в базе данных.
- Если совпадение найдено, пользователь успешно вошел в систему.
Так что теперь мои заботы -
- Является ли весь этот процесс безопасным и таким же, как то, что внедряется в промышленности?
- Если нет, то что может быть лучшим способом добиться этого с помощью безопасности.
но это обнаружит браузер, я просто хочу знать, что любой процесс, который я делаю, чтобы пользователь оставался в системе, является безопасным или нет.
Вы можете сохранить пользователя в localstorage с помощью javascript
Вы делаете это правильно.
@RobinSingh localStorage не отправляет сквозной запрос, такой как cookies, и ему нужен другой сценарий.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Вы можете найти ответ, который вы ищете здесь :)
"Оставь меня в системе" - лучший подход
Важно использовать хешированный файл cookie.
На стороне клиента вы должны использовать файл cookie, представляющий «идентификатор» «хешированного» файла cookie,
Когда в следующий раз пользователь вернется в веб-приложение -> вы проверите его файл cookie ("id") с хешированным файлом cookie, который вы сохранили на сервере, и проверите совпадение (сделанное на стороне сервера).
Примечание: функция хеширования выполняется на вашем сервере.
Еще одна вещь: никогда не позволяйте этому файлу cookie (хешированному) покидать сервер.
Итак, существует ли какая-либо угроза безопасности в результате кражи файлов cookie, поскольку любой, кто получит файл cookie, установит его с другого устройства, а затем пользователь войдет в систему. Это так же, как Facebook или Instagram реализуют сохранение входа в систему.
Да, файл cookie можно украсть, но вы можете обеспечить дополнительную безопасность, если проверите последний IP-адрес пользователя и пользовательский агент браузера. В случае несоответствия предупредите пользователя по электронной почте, как это делают многие сервисы.
Создайте столбец db, чтобы пользователи могли хранить последний пользовательский агент входа в систему
$_SERVER['HTTP_USER_AGENT'], после того, как пользователь захочет войти в систему, проверьте количество строк, если == 1, иначе уничтожьте сеанс и установите столбец db для user_agent равным нулю, это то, что вы пытаетесь достичь ?, можно поподробнее может быть?