php实现自动登录

PHP实现自动登录的方法

自动登录通常通过Cookie或Session结合数据库验证实现，以下是几种常见方案：

使用Cookie存储令牌

创建长期有效的认证令牌（Token）存储在用户浏览器Cookie中：

// 用户登录成功后生成令牌
$token = bin2hex(random_bytes(32));
setcookie('autologin_token', $token, time() + 60*60*24*30, '/', 'yourdomain.com', true, true);

// 数据库存储哈希后的令牌
$hashedToken = password_hash($token, PASSWORD_DEFAULT);
$stmt = $pdo->prepare("UPDATE users SET remember_token = ? WHERE id = ?");
$stmt->execute([$hashedToken, $user_id]);

验证自动登录

每次页面加载时检查Cookie令牌：

if (!isset($_SESSION['user_id']) && isset($_COOKIE['autologin_token'])) {
    $token = $_COOKIE['autologin_token'];
    $stmt = $pdo->prepare("SELECT id, remember_token FROM users WHERE remember_token IS NOT NULL");
    $users = $stmt->fetchAll();

    foreach ($users as $user) {
        if (password_verify($token, $user['remember_token'])) {
            $_SESSION['user_id'] = $user['id'];
            // 可选：更新令牌延长有效期
            break;
        }
    }
}

增强安全性措施

• 令牌应设置有效期并定期更新
• 结合用户IP或浏览器指纹进行二次验证
• 重要操作（如支付）需重新输入密码
• 使用HttpOnly和Secure标记Cookie

// 更安全的Cookie设置
setcookie(
    'autologin_token',
    $token,
    [
        'expires' => time() + 86400*30,
        'path' => '/',
        'domain' => 'yourdomain.com',
        'secure' => true,
        'httponly' => true,
        'samesite' => 'Strict'
    ]
);

数据库设计建议

用户表应包含以下字段：

ALTER TABLE users ADD COLUMN remember_token VARCHAR(255) NULL;
ALTER TABLE users ADD COLUMN token_expires_at DATETIME NULL;

实现自动登出

定期清理过期令牌：

// 每天执行一次的清理任务
$pdo->exec("UPDATE users SET remember_token = NULL WHERE token_expires_at < NOW()");

通过以上方法可以实现安全可靠的自动登录功能，注意要根据实际业务需求调整安全等级。