Как сделать вечную сессию в PHP при входе в аккаунт?

Question

[vladislav997]

Подскажите, (только начал работать с PHP) как и куда записать код с запоминанием вечных куки при входе пользователя, чтобы учётная запись была активна до тех пор, пока пользователь не нажмёт кнопку выйти или не очистит куки через браузер самостоятельно. Прикрепляю страницу входа:

<?php 
require 'db.php';

$data = $_POST;
if ( isset($data['do_login']) )
{
    $user = R::findOne('users', 'login = ?', array($data['login']));
    if ( $user )
    {
        //логин существует
        if ( password_verify($data['password'], $user->password) )
        {
            //если пароль совпадает, то нужно авторизовать пользователя
            $_SESSION['logged_user'] = $user;
            echo '<script type="text/javascript">location="index.php";</script>';
        }else
        {
            $errors[] = 'Логин или пароль не совпадают';
        }

    }else
    {
        $errors[] = 'Логин или пароль не совпадают';
    }

    if ( ! empty($errors) )
    {
        //выводим ошибки авторизации
        echo '<div id="errors" style="color:red; text-align:center;">' .array_shift($errors). '</div>';
    }

}
?>

Comments

[Вячеслав]

echo '<script type="text/javascript">location="index.php";</script>';

дичь.

[vladislav997]

Вячеслав, почему дичь? своё дело делает.

[Вячеслав]

vladislav997, потому что в рнр есть свои методы для редиректа.
это первое, второе - в JS редирект делается тоже несколько иначе.
говнокод говнокодом погоняет.
дичь.

Answer 1

[xmoonlight]

Нужно установить куки при успешной авторизации, а потом - проверять их при истёкшей серверной сессии.

Comments

[vladislav997]

как задать куки конкретно для входа пользователей?

[xmoonlight]

vladislav997, у куков нет понятия "конкретно для чего-то". Они либо есть, либо - их нет. И у них есть свойства: для какого домена, на какой срок они ставятся и "флаг" http-only.
Установку нужно делать под строкой: $_SESSION['logged_user'] = $user;

[vladislav997]

xmoonlight, После установки setcookie при входе вообще белый экран..

$_SESSION['logged_user'] = $user;
				$_setcookie ("Userscookie", "defcookie",time()+99999999);

[xmoonlight]

vladislav997, Вы документацию хорошо читаете?!

[Barmunk]

vladislav997, включите отображение ошибок вместо белого экрана, или смотрите логи

[webiru]

vladislav997, а почему $_setcookie()?Может setcookie() лучше будет?

[webiru]

И еще.
А что ты в куке хочешь хранить?
Там нужно хранить либо логин с паролем, либо какой-то хеш, который будет привязан к логину. Чтобы при потере сессии можно было авторизацию по кукам пройти незаметно для пользователя.

[xmoonlight]

webiru, не дай БОГ Вам хранить там:

Там нужно хранить либо логин с паролем

[webiru]

xmoonlight, ну конечно не в открытом виде. Я хеш храню. Но в любом случае, если куки украдут, то пройдут авторизацию.

[xmoonlight]

webiru,

Но в любом случае, если куки украдут, то пройдут авторизацию.

Далеко как не факт: всё зависит от алгоритма авторизации.

[webiru]

xmoonlight, Приведите пример. Если в алгоритме авторизации будет задействован ip, то это не вечная авторизация, ip может меняться и тогда авторизация будет слетать. А все остальное, что можно привязать к авторизации, это все хаккер, укравший куки полностью сэмулирует.
Я вас попросил пример алгоритма, потому что сам думаю об этом давно, но не придумал пока защиты от украденных кук.

[xmoonlight]

webiru, fingerprint2 + Заголовки браузера + подсети IP-адреса.
Затем, это всё хешируем и привязываем к клиентскому токену (который в куках браузера).

Каждый новый вход из другой подсети - подтверждаем письмом на почту/смс (информация клиента и ссылка на активацию входа из новой подсети): двухфакторная авторизация.

Также, в качестве двухфакторной авторизации, можем использовать HOTP/TOTP-аутентификацию (оно же Google Authenticator): JS-либа.

Алгоритм привязок для одной учётной записи:
Данные авторизации(учётка: логин/пароль) -> Клиенты(браузеры, мобилы, и т.д.) -> Подсети (выделенные IP-диапазоны с одним идентификатором) -> Токены (по которым мы авторизуем учётку)
Если нарушается цепочка - уже не пускаем без дополнительных проверок!

[webiru]

xmoonlight, Это все не то. Вместо подсети лучше использовать регион или даже страну, так как на мобиле постоянно скачешь по разным подсетям и иногда даже в другие города и регионы перескакиваешь.
Это все не дает 100% вечной авторизации, а высылать подтверждение в случае подозрения, это конечно можно, но уже считается слетевшей авторизацией.

[xmoonlight]

webiru, Можно учитывать только данные клиента (отпечаток браузера) + токен (и обновлять его каждые 10-20 запросов или по прошествии 10 минут).

Но тогда значительно упадёт безопасность... :(

[xmoonlight]

webiru, Или использовать клиентский сертификат (выдаваемый сервером), который устанавливать в хранилище сертификатов в браузер.
Но это, также: не всегда удобно, не всегда безопасно, не всегда применимо.