由于 php登录应用程序使用会话ID (每个用户一个),存储在 cookie 中,作为标题信息发送到服务器允许用户自动登录(假设用户已登录同一浏览器中的其他选项卡,可以说Chrome)。
我的问题是如果我将该用户会话ID cookie信息存储在另一个浏览器(比如说Firefox)并打开相同的应用程序,用户是否会自动登录。
如果有人发现我的会话ID并将其存储在浏览器中,该应用程序将允许用户登录或不登录。
答案 0 :(得分:1)
如果有人窃取你的会话cookie,和你仍然登录网站,那么是的。攻击者可以使用该会话cookie登录。
答案 1 :(得分:1)
由于@JonTan给出的答案,您可能会发现仅基于PHP会话ID的自动登录不安全。
该问题有各种解决方案,但每个问题的基础是尝试识别用户的“独特”属性。
例如,存储用户user-agent和ip地址。当您“自动登录”用户时,也要检查这些详细信息,如果它们不匹配,则销毁会话。您还可以将从此数据生成的另一个令牌添加为“额外”安全属性并将其存储在cookie中,并检查该令牌是否也匹配(您很可能希望基于用户代理生成此令牌) ,ip等,以便您能够重新标记令牌以匹配)。