我正在尝试专业地理解 cookie 和 session 。 我知道当浏览器连接到服务器时,服务器“要求”浏览器在客户端浏览器的 cookie 文件夹中“粘贴”带有“phpsessid”的 cookie。
现在我们有了“phpsessid”,如果客户端进入服务器,浏览器会向服务器发送“phpsessid”,服务器会查看 tmp 文件夹,如果有匹配项,它会加载所有数据用户有这个客户,但我对这个过程有点困惑。
如果有人能帮助我了解创建 session 和 cookie 的过程 - 幕后发生的事情,我将不胜感激。
最佳答案
让我们来看看这个:
Cookies 和 sessions 是在浏览器发出的不同请求之间保留应用程序状态的两种方式。多亏了他们,例如,您不必每次在 StackOverflow 上请求页面时都登录。 。
Cookies
Cookie 是一小段数据(最长为 4KB),将数据保存在键值对中:
name=value; name2=value2
这些是由 JavaScript 设置的。 ,或通过服务器使用 HTTP header 。
Cookie 设置了过期日期时间,例如使用 HTTP header :
Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT
这会导致浏览器设置一个名为 name2
的 cookie,其值为 value2
,该 cookie 将在大约 9 年后到期。
Cookie 被认为是高度不安全,因为用户可以轻松操纵其内容。这就是为什么您应该始终验证 cookie 数据。不要假设你从 cookie 中得到的一定是你所期望的。
Cookies 通常用于保存登录状态,其中用户名和特殊哈希从浏览器发送,服务器会根据数据库检查它们以批准访问。
Cookie 也经常用于创建 session 。
session
session 略有不同。每个用户都会获得一个 session ID,该 ID 会通过 cookie 或 GET 变量 发送回服务器进行验证。
session 通常是短暂的,这使得它们非常适合保存应用程序之间的临时状态。一旦用户关闭浏览器, session 也会过期。
session 被认为比 cookie 更安全,因为变量本身保存在 服务器上。以下是它的工作原理:
- 服务器打开 session (通过 HTTP header 设置 cookie)
- 服务器设置 session 变量。
- 客户变更页面
- 客户端发送所有 cookie 以及第 1 步中的 session ID。
- 服务器从 cookie 中读取 session ID。
- 服务器匹配数据库(或内存等)列表中的 session ID。
- 服务器找到匹配项,读取现在在
$_SESSION
超全局上可用的变量。
如果 PHP 没有找到匹配项,它将启动一个新 session ,并重复 1-7 的步骤。
您可以在 session 中存储敏感信息,因为它保存在服务器上,但请注意,如果用户(比方说)通过不安全的 WiFi 登录, session ID 仍然可能被盗。 (攻击者可以嗅探cookie,并将其设置为自己的,他不会看到变量本身,但服务器会将攻击者识别为用户)。
这就是它的要点。您可以在这两个主题的 PHP 手册中了解更多信息。
关于javascript - 什么是 cookie 和 session ,它们是如何相互关联的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11142882/