我正在使用PHP、AJAX和JS进行PWA开发。我希望用户在返回PWA应用程序时保持登录状态。现在,我通过Access令牌的帮助来完成这项工作,并通过PHP将其保存在HttpOnly的cookie中。在这里定义它-
- 用户输入详细信息,然后登录应用程序
- 该详细信息通过AJAX发送到PHP后端
- 后端登录代码检查数据库中的详细信息,如果匹配,则代码创建一个随机哈希令牌
- 后端代码使用HttpOnly和安全标志将该散列保存到cookie中
- 然后,用户会收到一条成功登录的消息
- 当用户下次返回web应用程序时,服务器PHP代码会查找保存在cookie中的登录哈希值,并从数据库中找到相关用户
- 如果找到匹配项,则用户已成功登录
所以现在我担心的是-
- 整个过程是否安全,是否与Industry中实现的过程相同
- 如果没有,那么在安全方面实现这一目标的最佳方法是什么
您可以在这里找到您想要的答案:(
"保持我的登录状态"-最佳方法
使用散列cookie很重要。
在客户端,您应该使用代表";id";";散列的";cookie,
当用户下次回到网络应用程序时->你将检查他的cookie("id"(与你保存在服务器上的哈希cookie,并检查是否匹配(在服务器端完成(。
注意:hashed函数是在您的服务器上完成的
还有一件事:永远不要让cookie(散列(离开服务器。