怎么在php中保持用户登录状态

今天就跟大家聊聊有关怎么在php中保持用户登录状态，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

PHP保持用户登录状态的方法

1、将用户信息，比如一个['uid'=>123, 'username'=>'testuser']的数组，序列化后成为字符串，使用可逆加密算法加密该字符串，写到一个Key为userinfo的COOKIE里。

2、由于可逆加密算法容易被解密，一旦加密的规则被别人猜测到以后，就可以轻易篡改这个COOKIE的内容，然后自行根据加密规则加密后伪造。

所以，我们另外加入一个infodig的COOKIE，是将以上的userinfo的COOKIE内容，加入salt后使用不可逆加密算法生成散列，至于salt咱们可以自己定，总之要对外保密，不可逆算法例如md5，甚至多次加盐多次md5。

3、以上两个COOKIE，为增强安全性，防止用户被XSS攻击后拿到，可以设置http-only属性。

服务端判断存在以上两个COOKIE后

1、验证infodig与userinfo是否匹配（将userinfo的内容使用生成infodig的方法计算后，与COOKIE传上来的infodig匹配是否一致）

2、infodig验证通过后，使用解密算法解密userinfo串，得到用户信息，如果用户信息里的uid存在用户表中，则写SESSION，通过SESSION保持本次会话

总结：

使用COOKIE记录用户信息是可行的（当然不建议把用户敏感的东西存在COOKIE，例如邮箱、手机、甚至密码，只记录对登录有用的部分，例如uid、username等标识，以及nickname可能会在某些地方提升用户体验），可以确定的是，这个COOKIE对用户可见，我们要做的就是两点：

1、尽量让用户看不懂，而只有我们服务端自己认识（可逆加密算法）

2、即使用户看懂了，他也不能够轻易的伪造（不可逆的散列算法）

看完上述内容，你们对怎么在php中保持用户登录状态有进一步的了解吗？如果还想了解更多知识或者相关内容，请关注亿速云行业资讯频道，感谢大家的支持。