PHP,cookie和快速浏览器刷新

对于我的登录系统,我有一个令牌值,每次验证发生时都会更改.每次访问任何页面时都会进行身份验证(通过查找令牌cookie和会话广告等),以及每次$​​ .ajax调用(我的想法是我希望确保用户始终进行身份验证,以及是否进行身份验证失败的令牌或系列或其他什么,系统会自动完全注销).在身份验证过程中,当确定当前会话有效时,会生成一个新令牌,并将该令牌设置为cookie并在 MySQL表中更新,如下所示:

$newtoken = hash("sha256", mt_rand());
my_mysqli_query($link, 
                'UPDATE _rememberme SET token = "'.$newtoken.'", lastupdated = "'.now().'" 
                 WHERE series = "'.$series.'" AND email = "'.$email.'"');
setmycookie("token", $newtoken, 7);

当我快速刷新浏览器时,它最终导致MySQL令牌和cookie令牌不匹配.我认为问题在于,在快速刷新期间,MySQL表会更新,但随后会发生刷新,脚本会在更新cookie之前中止.这会导致将来的身份验证失败,因为cookie令牌与MySQL令牌不匹配.

我真的很感激如何让用户快速刷新浏览器的一些想法.

我已经研究过这个问题,并且在找到解决方案方面收效甚微.

最佳答案 您的解决方案不会增加安全性,并为您的用户增添了一个令人头疼的问题.

如果您使用PHP会话,则不必依赖多个cookie,也不必在每次访问时对所有内容进行哈希处理.准备会话将提高安全性,因为您的用户将无法更改其会话变量. Cookie是用户可修改的,因此您不能盲目信任它们.但是,用户可以更改PHPSESSION cookie,但是将会话更改为另一个会话的可能性非常小,几乎不可能.

使用当前代码,如果用户在新选项卡上打开链接,并且在请求返回之前打开另一个链接,他将被注销. cookie将在第一个请求时更改,但在浏览器获取新值之前,用户会使用旧cookie提交另一个请求.新值在数据库上,处理具有旧值的新请求,并且会话无效.另一个不满意的用户感到困惑,因为他被随机注销.

点赞