Как корректно реализовать автовход пользователя на сайт?

Question

[Александр]

Здравствуйте уважаемые программисты. Нужен совет.
При таком коде авторизации пользователя, если настроен автовход:

if($_SESSION['ID'] == '0'){

  if(isset($_COOKIE['autoenter'])){  
  $user_sql = $sql->run("select id,username,rating,ava_url from `".users` where `username` = ? and id = ?",array($_COOKIE['login'],$_COOKIE['id']));
  $Rows = $user_sql->fetch();
  $_SESSION['ID'] = $Rows['id'];
  $_SESSION['username'] =  $Rows['username'];
 
  }

  }

можно же запросто подменить куки любого юзера и войти под его учеткой? Правильно я мыслю?
Если так, то подскажите, пожалуйста, как лучше доработать это дело , чтобы было безопасно.

Comments

[nokimaro]

Просто интересуюсь, а как у вас сделана система авторизации? Пользователь тоже вводит id и login чтобы войти?

[Александр]

nokimaro, пользователь вводит логин и пароль конечно же.

[nokimaro]

Александр, теперь попробуем продолжить эту мысль.
Держа в уме тот факт что $_POST и $_COOKIE практически равнозначны и клиент может изменить и передать любые данные

[Александр]

nokimaro, так как мне обезопасить автовход? Заносить хэш пароля что ли в куки пользователю?

[nokimaro]

Александр, лучше генерировать отдельно уникальный token который будет привязан к пользователю и иметь какое-то время жизни. По нему и делать автовход.
В случае если пользователь меняет пароль то все остальные токены должны быть анулированы или удалены, чтобы произошёл автоматический разлогин на других девайсах.

[Александр]

nokimaro, спасибо... Понял.

[nokimaro]

Александр, так же можете посмотреть https://github.com/delight-im/PHP-Auth
просто для понимания всех нюансов которые присутствуют при реализации авторизации/регистрации, где "Автовход" лишь малая часть

[Александр]

nokimaro, спасибо, я обязательно посмотрю. А что касается при смене пароля удалять токен нужно только из БД и генерировать новый сразу пользователю, чтобы он не вылетел с сайта?

[Александр]

nokimaro, Так мне еще таблицу надо отдельную что ли создавать, куда заносить id пользователя, инфо об устройстве, токен, дату жизни токена?
Ведь при одном и том же токене не получится автовходом пользоваться с разных устройств. Ведь при входе, к примеру с мобилки, токен изменится и на ПК уже он будет другой. И при автологине он не совпадет. Значит авторизация потеряется

[Ипатьев]

Александр, да, это более продвинутый подход.
Но обязательно или нет - зависит от общей сложности и актуальности приложения, и наличных ресурсов

[Александр]

Ипатьев, ну так в этом смысл есть чтобы не терялась функция автовхода с других устройств. У нас сайт развлекательный и пользователи заходят и с мобилко и с домашнего и рабочего ПК. Хотелось бы чтобы автовход работал везде!

Answer 1

[Ипатьев]

Очень правильный вопрос. Разумеется, с таким подходом зайдет кто угодно.

поэтому надо в таблицу users добавить поле autoenter, и если пользователь выбирает автологин, то в него записывать значение bin2hex(random_bytes(16)); и его же записывать в куку.

Comments

[nokimaro]

Стоит так же учесть вариант, ели кто-то взломал мой аккаунт, и тоже авторизовался получив заветную куку.
Я меняю пароль, а злоумышленник продолжит автозаходить по такой куке.

[Александр]

nokimaro, и что тогда?

[ThunderCat]

Александр, логично менять эту печеньку при каждом логине. Ну и время жизни какое-то адекватное задать.

[Александр]

ThunderCat, так ведь я зашел на сайт с компа, получил этот токен.... Потом зашел с телефона, в это время токен создался новый. Значит тут я авторизуюсь, а вот с компа вылечу?

[ThunderCat]

Александр, нет же, вы же только авторизируетесь по ней, а дальше в сессии хранится статус "залогинен", не нужно логиниться при каждом обновлении страницы.

[Александр]

ThunderCat, Ну так сессия же кончится и тогда автологин не сработает на том устройстве, на котором хранится другой токен

[Александр]

TheAndrey7, Если я и удалю запись из таблицы, то просто перестанет работать автовход. Но сессия будет жить, пока не кончится ее время?

[Александр]

TheAndrey7, Я наверное что-то не понимаю? Эта запись используется только для Автовхода. А он срабатывает когда истекает сессия. Так вот, запись можно удалить, но сессия если еще жива, то будет активной, но вот продлить ее будет нельзя. Если я правильно мыслю

[Александр]

TheAndrey7, ах вон оно что! Теперь начинаю понимать!

[Vitaliy K]

nokimaro, а в куку добавить привязку по ip