生成一个散列，其中可能包含只有您知道的秘密，然后将其存储在您的DB中，以便与用户关联。应该工作得很好。

我在这里问了这个问题的一个角度，答案将引导您找到所需的所有基于令牌的超时cookie链接。

基本上，您不会将userId存储在cookie中。您存储了一个一次性令牌(巨大的字符串)，用户使用它来拾取旧的登录会话。然后，为了使其真正安全，在进行重大操作(比如更改密码本身)时，需要输入密码。

我推荐Stefan提到的方法(即遵循改进的持久登录Cookie最佳实践中的指导方针)，也建议你确保你的Cookie是HttpOnly Cookie，这样它们就不会被潜在的恶意JavaScript访问。

Implementing a "Keep Me Logged In" feature means you need to define exactly what that will mean to the user. In the simplest case, I would use that to mean the session has a much longer timeout: 2 days (say) instead of 2 hours. To do that, you will need your own session storage, probably in a database, so you can set custom expiry times for the session data. Then you need to make sure you set a cookie that will stick around for a few days (or longer), rather than expire when they close the browser.

我能听到你在问“为什么是2天?”为什么不是两周?”这是因为在PHP中使用会话会自动将过期时间向后推。这是因为在PHP中会话的过期实际上是一个空闲超时。

现在，我可能会实现一个更难的超时值，我将其存储在会话本身中，并在2周左右退出，并添加代码来查看并强制使会话无效。或者至少让他们退出。这意味着将要求用户定期登录。雅虎这是否。

我的解是这样的。它不是百分之百的防弹，但我认为它在大多数情况下都能帮你。

当用户成功登录时，创建一个包含以下信息的字符串:

$data = (SALT + ":" + hash(User Agent) + ":" + username 
                     + ":" + LoginTimestamp + ":"+ SALT)

加密$data，设置类型为HttpOnly，并设置cookie。

当用户回到你的网站时，执行以下步骤:

Get cookie data. Remove dangerous characters inside cookie. Explode it with : character. Check validity. If cookie is older than X days then redirect user to login page. If cookie is not old; Get latest password change time from database. If password is changed after user's last login redirect user to login page. If pass wasn't changed recently; Get user's current browser agent. Check whether (currentUserAgentHash == cookieUserAgentHash). IF agents are same go to next step, else redirect to login page. If all steps passed successfully authorize username.

如果用户登出，请删除此cookie。如果用户重新登录，创建新的cookie。

我不理解在cookie中存储加密内容的概念，因为你需要进行黑客操作的正是它的加密版本。如果我遗漏了什么，请评论。

我正在考虑采用这种方法来“记住我”。如果你能看到任何问题，请评论。

Create a table to store "Remember Me" data in - separate to the user table so that I can log in from multiple devices. On successful login (with Remember Me ticked): a) Generate a unique random string to be used as the UserID on this machine: bigUserID b) Generate a unique random string: bigKey c) Store a cookie: bigUserID:bigKey d) In the "Remember Me" table, add a record with: UserID, IP Address, bigUserID, bigKey If trying to access something that requires login: a) Check for the cookie and search for bigUserID & bigKey with a matching IP address b) If you find it, Log the person in but set a flag in the user table "soft login" so that for any dangerous operations, you can prompt for a full login. On logout, Mark all the "Remember Me" records for that user as expired.

我能看到的唯一弱点是;

你就可以拿到别人的笔记本电脑，用cookie欺骗他们的IP地址。 你可以每次欺骗一个不同的IP地址，并猜出整个事情-但有两个大字符串来匹配，这将是…做类似于上面的计算…我不知道……巨大的机会吗?