php异地登录实现

实现 PHP 异地登录检测

获取用户登录 IP 信息

使用 $_SERVER['REMOTE_ADDR'] 获取用户当前登录 IP 地址。对于经过代理的情况，可以检查 HTTP_X_FORWARDED_FOR 等头部信息。

$current_ip = $_SERVER['REMOTE_ADDR'];
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $current_ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

存储用户常用登录 IP

在用户表中添加字段存储常用登录 IP，或在单独的登录记录表中保存历史 IP 数据。首次登录时记录 IP，后续登录时进行比对。

// 假设用户已有常用 IP 字段
$user_last_ip = $user['last_login_ip']; 
$user_common_ips = json_decode($user['common_ips'], true);

IP 地理位置比对

使用 IP 地址库或第三方 API（如 IPAPI、IP2Location）获取地理位置信息，比对本次登录与常用登录地的差异。

// 使用免费 API 示例
$location_data = json_decode(file_get_contents("http://ip-api.com/json/{$current_ip}"), true);
$current_country = $location_data['country'] ?? 'Unknown';
$current_city = $location_data['city'] ?? 'Unknown';

风险等级评估

根据以下因素评估风险等级：

• 国家/省份变更：高风险
• 城市变更：中风险
• 同一城市不同 IP：低风险

if ($current_country != $user['last_login_country']) {
    $risk_level = 'high';
} elseif ($current_city != $user['last_login_city']) {
    $risk_level = 'medium';
} else {
    $risk_level = 'low';
}

多因素验证触发

对于中高风险登录尝试，要求进行二次验证（短信验证码、邮箱验证、OTP 等）。

if ($risk_level != 'low') {
    // 生成并发送验证码
    $verification_code = mt_rand(100000, 999999);
    // 存储验证码到 session 或数据库
    $_SESSION['login_verification'] = [
        'code' => $verification_code,
        'expires' => time() + 300
    ];
    // 跳转到验证页面
    header('Location: /verify.php');
    exit;
}

登录设备指纹识别

收集设备信息生成唯一指纹，增强识别精度：

• User-Agent 字符串
• 屏幕分辨率
• 时区设置
• 浏览器插件列表

$device_fingerprint = md5(
    $_SERVER['HTTP_USER_AGENT'] . 
    $_SERVER['HTTP_ACCEPT_LANGUAGE'] . 
    $_SERVER['HTTP_ACCEPT_ENCODING']
);

异常登录通知

通过邮件、短信或应用内通知告知用户异常登录尝试。

if ($risk_level != 'low') {
    $message = "检测到从 {$current_ip} ({$current_city}) 的登录尝试";
    mail($user['email'], '安全警报: 新位置登录', $message);
}

定期更新常用登录信息

用户正常登录后，更新其常用登录信息，保留最近 3-5 个常用登录地点。

// 更新用户最后登录信息
$update_data = [
    'last_login_ip' => $current_ip,
    'last_login_country' => $current_country,
    'last_login_city' => $current_city,
    'last_login_at' => date('Y-m-d H:i:s')
];
// 保存到数据库...

增强安全措施

会话安全控制

对于敏感操作（如修改密码、支付等），即使已登录也要求重新验证身份。

if ($_SESSION['sensitive_action'] && !$_SESSION['recently_verified']) {
    header('Location: /reverify.php');
    exit;
}

登录历史记录

记录每次登录的详细信息供用户查看和审计。

$login_log = [
    'user_id' => $user['id'],
    'ip_address' => $current_ip,
    'location' => "{$current_city}, {$current_country}",
    'device_info' => $device_fingerprint,
    'login_time' => date('Y-m-d H:i:s'),
    'status' => ($risk_level == 'low') ? 'success' : 'pending'
];
// 插入登录日志表...

实时阻止可疑登录

与安全系统集成，对已知恶意 IP 或 Tor 出口节点等直接阻止登录。

$blocked_ips = ['123.45.67.89', '111.222.333.444'];
if (in_array($current_ip, $blocked_ips)) {
    die('您的登录请求已被阻止，请联系客服');
}

实现注意事项

隐私合规

遵守 GDPR 等数据保护法规，明确告知用户收集 IP 和设备信息的目的，并提供数据访问和删除选项。

性能优化

对于高流量站点，考虑缓存 IP 地理信息查询结果，或使用本地 IP 数据库替代 API 查询。

用户体验平衡

避免过度安全措施导致合法用户登录困难，提供"记住此设备"选项减少验证频率。