PHP cookie缓存替代session
来源:互联网 发布:双拼域名交易 编辑:程序博客网 时间:2024/05/31 05:27
用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。
Session的优点是简单易用,可以直接从Session中取出用户登录信息。
Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。
我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。
由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。
实现防伪造cookie的关键是通过一个单向算法(例如SHA1),举例如下:
当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:
“用户id” + “过期时间” + SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)
当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:
用户id
过期时间
SHA1值
如果未到过期时间,服务器就根据用户id查找用户口令,并计算:
SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)
并与浏览器cookie中的MD5进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。
这个算法的关键在于SHA1是一种单向算法,即可以通过原始字符串计算出SHA1结果,但无法通过SHA1结果反推出原始字符串。
所以登录API可以实现如下:
public function login(Request $request){ $username = $request->param('username'); $password = $request->param('password'); //查询用户是否存在 $user = Db::table('users')->where('username',$username)->find(); // 验证用户密码是否正确 // ...... Cookie::set('user_login',$this->userCookie($user,86400)); return json(['code'=>1]); } // 加密 private function userCookie($user,$max){ $expireTime = time() + $max; $str = $user['id'].'-'.$user['username'].'-'.$expireTime.'-'.self::COOKIE_KEY; $arr = array($user['id'],$expireTime,sha1($str)); return implode('-',$arr); }对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。
利用中间件在处理URL之前,把cookie解析出来:
public function getinfo(){ $cookieStr = Cookie::get('user_login'); $user = $this->cookieUser($cookieStr); return json($user);}// 解密private function cookieUser($cookieStr){ $arr = explode('-',$cookieStr); if(count($arr)!=3){ return false; } list($id,$expireTime,$sha1) = $arr; if($expireTime < time()){ return false; } $user = Db::table('users')->where('id',$id)->find(); if(empty($user)){ return false; } $str = $user['id'].'-'.$user['username'].'-'.$expireTime.'-'.self::COOKIE_KEY; if($sha1 != sha1($str)){ return false; } return $user;}- PHP cookie缓存替代session
- PHP替代session的方法
- Memcache+Cookie替代Session解决方案(MVC版)
- PHP cookie session
- PHP cookie session
- php cookie session
- php基础-cookie、session
- PHP COOKIE & SESSION
- php session cookie
- php cookie&session小记
- Php Cookie,Session设置
- php中的Session、Cookie
- PHP session and cookie
- php cookie 与 session
- php session和cookie
- redis 替代php文件存储session
- PHP中Redis替代文件存储Session
- 在分布式项目中使用memcached+cookie替代session
- 端口号被占用的问题之一
- Angular之jqLite的使用说明
- 一张图理解Android中的各种存储
- [stl容器及算法小结]
- vi tab换4个空格
- PHP cookie缓存替代session
- STM32启动文件详解——startup_stm32f10x_xx.s
- Thriftpy源代码走读(三)-服务器端流程分析
- 2017年8月7日训练日记
- POJ3026 Borg Maze
- Collections工具类
- java 基础之 I/O流 其四 (对象流和序列化)
- arcgis api for javascript v3.21加载天地图代码示例
- CodeForces 448C-Painting Fence-贪心
