存储用户密码(服务器端)，将其连接到cookie - 安全问题

我正在尝试为有关 Cookie/会话和数据库数据的问题找到一个安全的解决方案。

我已经阅读了不同的文章，例如解释不同 Cookie 盗窃和会话固定方法的 http://www.devshed.com/c/a/PHP/Sessions-and-Cookies/，以了解我将面临的安全问题。

问题如下：我有数据库表，其中存储了使用 AES_ENTRYPT() 输入的数据，使用用户密码对其进行加密。这意味着，即使要阅读信息，我也必须使用明文密码来解密数据。

如果我只将密码存储在 $_SESSION 变量中，这可能不是问题，但这会拒绝在多天内通过 cookie 保持登录的能力。

换句话说，我必须将明文密码存储在cookie中（至少，使该功能保持登录状态）

现在，您可以使用加盐的MD5（）或SHA-256（）哈希作为标识符，而不是密码。但是我无法使用哈希值解密数据。这意味着我必须将密码服务器端存储在数据库中？或者有其他安全的方法吗？），将其连接到标识符 - 但是密码对于有权访问数据库的每个人都可以访问，并且可以直接解密那里的数据。

有没有一种安全的方法，连接我存储在cookie中的标识符，并将其连接到服务器存储的用户输入（密码/帐户名），这实际上使可以访问数据库的人有可能读取服务器端存储的用户输入？

要求是，即使在最坏的情况下，有人转储了数据库和cookie（但无法访问服务器RAM），该人也不应该能够访问用户密码并使用它解密存储的数据。

为避免混淆，请回顾一下：

这不是用户识别问题 - 登录过程单独发生（通过通常的方式：密码/登录数据的md5（）哈希）。我的问题是，用户数据（如地址，姓名，电子邮件）使用用户密码进行加密。所以我需要登录名的密码来解密它们。如果用户只是登录，这没有问题，因为我在 $_POST 数据中有密码，并且可以使用它。但是登录后呢？一旦 _POST 美元或 _SESSION 美元消失，我就无法再次解密数据。

---

可能的解决方案

经过一些输入，我可能会想出一种方法 - 它不是完全安全的，但它应该足够好用：

（这与登录/用户身份验证过程是分开的，我只指加密/密钥部分）

user registers OR changes password:
    generate a new hash out of $email and $password => $auth
    do NOT store $auth in the usertable, just keep it
    generate a new random key for the user => $key (only on registering, not on pw change)
    encrypt $key with $auth, storing it into the usertable
    encrypt all user data with $key
user logs in (or after registering / password change):
    generate $auth ($password + $email)
    set cookie with $auth as variable
user is logged in (cookie / session / after login):
    decrypt $key with $auth
    use $key for data encryption / decryption (serverside)

这里唯一的问题是，如果有人可以得到$auth，他们可以解密$key，然后解密数据。我正在考虑为每次登录生成一个新$auth，但这会引发一个问题，如果旧$auth丢失，我如何解密密钥。这和令牌之间的区别在于，这增加了另一层，其中令牌不是加密密钥本身。无论如何，我认为解决方案是除了公钥/私钥之外最接近我想要的。谢谢。

$token = md5(uniqid(mt_rand(), true));`

$token = md5(uniqid(mt_rand(), true));

$memcache->set($token, $password); 

$user_password = $memcache->get($_COOKIE['token']);