Cookie + db token +會話身份驗證，我可以不使用會話嗎

Question

我有一個小的web應用程序，它使用了大量的ajax。有人登錄後，我們需要保持持久性的是他們的user_id和group_id

我首先進行身份驗證的方式，我只是將它們存儲爲cookie中的明確txt（$ _COOKIE ['user_id']，$ _COOKIE ['group_id ']）。顯然這是不好的，因爲你可以修改兩個值！

我不是一個有經驗的程序員，也不需要這個應用程序的大量驚人的安全。但那很糟糕。

因此，我開始在數據庫中創建一個令牌，該令牌存儲user_id，group_id和哈希令牌，然後僅將該令牌放入Cookie中。一旦令牌被認證（cookie匹配數據庫），user_id和group_id被創建爲會話。

這是更安全的，但是不得不管理user_id和group_id會話（超時，重新初始化）而僅僅從cookie中抓取它們的事情已經引起了很多的悲傷，並使我的應用程序的實際功能變得不可靠。

現在接受我的技能水平，並且我的應用程序的簡單管理+強大功能比高級別安全性更重要......我想知道是否可以取消會話並通過做出妥協仍然存儲在cookie中，而是沿着與散列的USER_ID和組ID - 即

COOKIE [ '標記'] = user_id_val + group_id_val + hash_in_db

將如下所示：23-144-jhwr8324398fjk2j49083223n23

所以我只需要一個小函數來解析這個字符串，並從中做一切事情。有人可以改變值，但顯然哈希不匹配。

可以嗎？

Answer 1

您根本不需要cookie（當然，除了session cookie）進行身份驗證。這裏有一個簡單的cookie的身份驗證的一個例子：

session_start(); 

// $db is a pseudo object for database access 

// Verify login 
$auth = false; 
if (isset($_SESSION['user_id']) && isset($_SESSION['user_hash'])) { 
    $user = $db->getUserById($_SESSION['user_id']); 
    if ($user) { 
     $hash = sha1($user->id.$user->salt); 
     if ($hash === $_SESSION['user_hash']) $auth = true; 
    } 
} 

// Make login 
if (isset($_POST['login'])) { 
    $user = $db->getUserByCredentials($_POST['login'], $_POST['password']); 
    if ($user) { 
     $_SESSION['user_id'] = $user->id; 
     $_SESSION['user_hash'] = sha1($user->id.$user->salt); 
     // redirect... 
    } 
    // redirect to error page 
} 

當然，這可以提高增加防禦機制，對各種攻擊，存儲用戶信息等，但是這是基本的想法。這比使用cookie更安全。