PHP网站登录状态验证：Session与认证Cookie的正确使用方式

在php网站中，只要确保`$_session['user']`仅在用户成功登录后才被设置，后续页面只需检查该session变量是否存在即可；但为增强安全性，建议结合数据库中的认证token进行二次校验，并实施token轮换与过期机制。

在构建基于Session的身份验证系统时，核心原则是：Session是服务端状态，可信度高；而客户端Cookie（包括Session ID和自定义认证Cookie）本质上不可信，需谨慎对待。

✅ 推荐做法：

• 首次登录成功后，生成高强度随机Token（如使用 bin2hex(random_bytes(32))），存入数据库并与用户ID绑定，同时设定期限（如7天未活动自动失效）；
• 将该Token写入HTTP-only、Secure、SameSite=Strict的持久化Cookie（例如 auth_token）；
• 同时在服务端启动Session，设置 $_SESSION['user'] = $userId；
• 后续所有受保护页面，必须同时满足两个条件才允许访问：

// 示例：通用登录状态验证逻辑（建议封装为函数）
function requireAuth() {
    if (!isset($_SESSION['user']) || !isset($_COOKIE['auth_token'])) {
        header('Location: /login.php');
        exit;
    }

    $userId = (int)$_SESSION['user'];
    $token = $_COOKIE['auth_token'];

    // 数据库校验：Token是否有效、未过期、归属当前用户
    $stmt = $pdo->prepare(
        "SELECT 1 FROM auth_tokens 
         WHERE user_id = ? AND token = ? AND expires_at > NOW() AND is_revoked = 0"
    );
    $stmt->execute([$userId, $token]);

    if (!$stmt->fetch()) {
        // 失效处理：清除本地Session和Cookie
        $_SESSION = [];
        session_destroy();
        setcookie('auth_token', '', time() - 3600, '/', '', true, true);
        header('Location: /login.php?error=invalid_session');
        exit;
    }
}

⚠️ 关键注意事项：

• 绝不单独依赖$_SESSION['user']作为唯一凭证——虽然Session存储在服务端，但若Session ID（PHPSESSID）被劫持（如通过XSS或不安全网络），攻击者仍可复用该Session。因此，将自定义auth_token与Session联合校验，构成“双因素会话保护”；
• 每次登录必须生*新Token并使旧Token失效（更新数据库中对应记录的is_revoked = 1），防止Token长期复用；
• 建议在敏感操作（如修改密码、支付）前，额外要求用户重新输入密码或进行二次验证；
• 用户主动登出时，务必调用 session_destroy() 并显式清除auth_token Cookie；
• 启用 session_regenerate_id(true) 在登录成功后立即更换Session ID，阻断会话固定（Session Fixation）攻击。

综上，isset($_SESSION['user']) 是快速可用的初步判断，但生产环境必须辅以服务端Token校验——这不是过度设计，而是现代Web安全的基本实践。