CookieSession机制详解及PHP中Session处理

28次阅读

共计 1934 个字符，预计需要花费 5 分钟才能阅读完成。

Cookie/Session：
在 web 应用中，常用的会话追踪机制是 Cookie 和 Session。而 Cookie 是通过在浏览器里记录确定用户身份，Session 在服务器端记录信息确定用户身份。

Http 协议：
http 协议本身是无状态的，也就是说我们无法通过 http 协议来确定该次请求的用户身份，所以，通常的做法是需要通过 Cookie 和 Session 机制确定会话用户身份。

简介:
Cookie 是存储在客户端的，用来记录信息。其实单纯来说，仅采用 Cookie 也是可以追踪用户会话，只是这样安全性会大大降低（例如：最粗暴的将用户登录的用户名、密码写入 cookie，每次请求验证用户名密码，根据验证结果决定是否允许进行接下来的业务处理）。

Cookie 创建及如何发送给客户端：
cookie 创建：cookie 由服务端创建（也就是服务端决定要往 cookie 写入什么内容）。在 PHP 中，当 setCookie 函数执行后，默认会将 cookie 写入到客户端中。

<?php
setCookie('name', 'nameValue');
echo 'success';

当在浏览器中执行上述代码时，会将 cookie 写入到浏览器中。

Cookie 使用 ：
cookie 一般是在登录成功后，完成写入，将其返回给客户端。客户端下次请
求时会带入 cookie，服务端通过获取 cookie 内容进行验证会话信息。

Cookie 有效期及跨域问题：
cookie 是可以设置有效期的，默认是浏览器关闭时，cookie 自动失效。
cookie 存在跨域问题（浏览器同源策略保护），例如，childB.B.com 和 Child2B.B.com 虽然都在一级域名 B.com 下，但是由于二级域名不同，所以 cookie 也无法在 Child2B.B.com 下使用（这也是为什么前后端分离项目中，不采用 cookie、session 机制的原因）。

跨域问题解决：
跨域问题可以通过在服务端设置允许 cookie 访问的域名或在 nginx 中配置允许跨域域名 Cookie 跨域解决方案

header('Access-Control-Allow-Origin: Child2B.B.com');
header('Access-Control-Allow-Credentials: true');

简介：
在服务端保存用户信息，追踪用户的会话记录。

原理分析：
当浏览器通过 http 协议请求服务端时，服务端会为用户创建 session。在创建 session 时，会检查是否包含一个唯一的会话 id，即 sessionId。
（1）若有该 sessionId，则表示已经为用户创建过会话，通过 sessionId 从 session 中获取用户信息，执行下面的业务处理；
（2）若没有该 sessionId，则表示还未创建过会话，服务端会创建 session，为该 session 关联唯一的 sessionId，将 sessionId 返回客户端。
通常情况下，session 会和 cookie 配合使用，即将 session 生成的 sessionId 通过 cookie 写入浏览器。浏览器在下次请求时，带入 cookie，服务端通过 cookie 获取 sessionId，进而获取 session 信息。

禁用 cookie 的 sessionId Url 重写：
当浏览器禁用 cookie 时，是没法通过 cookie 带入 sessionId 的，可以通过将 sessionId 附着在 url 中传入服务端。
在 PHP 中当 php.ini 中的 session.use_trans_sid = 1 时，若浏览器禁用 cookie 会自动将 sessionId 附着在 url 上进行传递。

PHP 对 session 的处理方式：
PHP 默认通过文件的形式存储 session，即生成 sessionId 时，相应服务器也会生成一个 sess_sessionId 的文件，在该文件中会存储 session 信息。
PHP 支持通过 session_set_save_handler()函数设置支持的 session 驱动 session_set_save_handler()函数，要求自定义的 session 处理类需要实现 SessionHandlerInterface 接口（或者是已经实现了该接口的 sessionHandler）。
例如：在 tp5 中，实现了三种驱动方式：redis/memcache/memcached。

总得来说，由于 http 协议的无状态，所以需要单独的会话追踪机制来保持用户会话，session 是在服务端存储用户信息追踪会话，cookie 是在客户端存储用户信息。session 在服务端生成 sessionId，通常做法是需要通过浏览器 cookie 来存储，配合使用来确定用户会话信息。

正文完

cookie php session

发表至：无分类

2019-08-25

0

macos-安装多版本JDK并进行切换

Springboot源码分析之AbstractAdvisorAutoProxyCreator