文档章节

使用COOKIE实现登录 VS 使用SESSION实现登录

o
 osc_pn11u1x9
发布于 2018/08/06 12:43
字数 2467
阅读 28
收藏 0
php

精选30+云产品,助力企业轻松上云!>>>

注:本文使用的代码基于PHP,其他语言逻辑同理。

 

一:使用COOKIE实现登录验证

使用cookie实现登录的方式,主要通过一些单向的加密信息进行验证。比如admin用户登录了之后,服务端生成一个cookie值:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c ,这个cookie值包含用户名,cookie到期时间和一个信息签名。签名的信息为 ”用户名_用户密码_cookie到期时间_盐” 比如:md5(”admin_1533006028_123456_salt123”)。这样用户每次访问,只要获取到这个cookie值,然后验证cookie到期时间和签名。就可以判断该用户是否已登录。

首先看看下面cookie登录的实例代码:

<?php
class Login { //登录 public function login($account,$password) { $lifetime = time()+3600; $model = new Model(); $pwd = md5($password); $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd); if($userInfo){ $cookie =$this->user2cookie($userInfo, $lifetime); setcookie('account', $cookie, $lifetime); return true; }else{ return false; } } //验证登录 public static function isLogin() { $cookie = $_COOKIE['account']; $re = $this->cookie2user($cookie); return $re; } //根据cookie判断一个用户是否合法的登录用户 public function cookie2user($cookie) { if(empty($cookie)) return false; list($username,$lifetime,$token) = explode('_',$cookie); //cookie过期或者cookie1分钟内过期 if($lifetime < (time()+60)) return false; $model = new Model(); //获取缓存中的用户信息 $userInfo = $model->redis->get($username); if(!$userInfo){ $userInfo = $model->db->getOne(array(‘username’=>$username)); }else{ $userInfo = parse_url($userInfo); } if(!$userInfo){ return false; } //验证token值 $str = $username.$userInfo['password'].$lifetime.$userInfo[‘salt’]; if($token !== md5($str)) return false; $val = http_build_query($userInfo , '' , '&'); //将用户信息设置到缓存中,键值生命周期为1小时。 $model->redis->set($username,$val,3600); return true; } //生成验证用户登录的cookie值 public function user2cookie($user,$lifetime) { $str = $user['username'].$user['password'].$lifetime.$user[‘salt’]; $token = md5($str); $re = $user['username'].'_'.$lifetime.'_'.$token; return $re; } } ?>

 

cookie的登录流程: 首先通过Login() 函数验证用户提交的用户名和密码,如果验证通过则将相关信息写入cookie, 后面使用isLogin() 函数对用户的每次访问进行验证,验证的方式也是通过该用户的cookie。验证通过则说明该用户已经登录,否则说明该用户没有登录。跳转到登录页面。

这里重点讲下Login类的两个关键函数cookie2user和user2cookie:

1、  cookie2user根据cookie判断一个用户是否合法的登录用户,即用户每次访问,都会通过isLogin函数验证该用户是否已经登录。验证方式就是获取到用户此次访问的cookie值,然后将验证cookie值里的token(签名信息)值。验证通过,说明该用户是已经登录的,否则就是为登录或者不存在该用户。

2、  user2cookie用于生成验证用户登录的cookie值。如前文所述,该cookie值包含用户名、cookie生存时间和token值。这里关键就是这个token值的生成方式,要注意判断登录的时候生成token值的方式要与此函数生成token值的方式一致。比如这里是将用户名,用户密码,cookie生存时间和盐进行连接并取md5值。当然加密方法也可以不用md5,也可以使用sha1等。

 

二、使用SESSION实现登录验证

由于session的信息是保留在服务端的,所以用户登录户的信息保存在服务,所以无需像cookie登录的那样将信息进行单向加密。

session登录的示例代码:

<?php

class Login
{
   //登录
   public function  login($account,$password)
   {
        $model = new Model();
        $pwd = md5($password);
        $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd);
        if($userInfo){
           $_SESSION[‘account’] = $userInfo;
           return true;
        }else{
            return false;
        }
    }

 
    //验证登录
    public static function isLogin()
    {
         if(isset($_SESSION['account'])){
                return true;
         }else{
                return false;
         }
    }

}

?>

 

session的登录流程:首先用户提交的用户名和密码提交到Login() 方法进行验证,如果验证通过则将信息写入session,后面每次访问都会去取该用户的session信息。如果不存在该用户的SESSION信息,则说明该用户还没有登录,跳转到登录页面。已经登录了的用户每次访问,都会通过isLogin() 函数进行验证。验证不通过说明登录过期或者没有登录,则跳转到登录页面。

两种方式都是通过isLogin() 方法来验证用户是否已经登陆的了。该方法一般在程序的入口处进行Login::isLogin() 调用,从而对所有的访问进行验证。

 

三、两种方式的异同点

除了上文已经简述的之外,这里先介绍下PHP里面处理SESSION的机制。

PHP在调用seesion_start() 函数之后会生成一个字符串(一般是某些不重复的哈希值)。这个字符串就是session_id,当然这个值也可以自行调用函数session_id(‘指定的session_id 值’)进行构建,需要注意的是,session_id()函数必须在session_start() 函数之前先调用。只有调用了session_start() 函数,才会产生相应的session文件和cookie值。

具体过程如下:

1、客户端(浏览器)首次访问时,这里默认开启了session_start() 函数的,此时PHP会随机生成一个不重复的cookie(即session_id,这里假如生成ug9gch0ns7nql4gjoe3jckdab2)值。

 

2、服务端会生成一个session文件默认文件名为’SESS_’.session_id,即:SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。文件的保存路径默认在php.ini的session.save_path设置的路径中,例如linux系统中默认为/var/lib/php/sessions目录。(注意:此时SESS_ ug9gch0ns7nql4gjoe3jckdab2文件是个空文件,因为服务端还没有信息存入SESSION中,具体看第4步)

 

3、然后将生成的 ug9gch0ns7nql4gjoe3jckdab2 设置到cookie里,cookie键名默认是php.ini里设置的session.name配置项,默认是:session.name=PHPSESSID;相当于执行了$_COOKIE[‘PHPSESSID’]= ug9gch0ns7nql4gjoe3jckdab2;用户此次访问的http响应头部信息里就会包含:

Set-Cookie: PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2; path=/

相应的cookie信息就会保存到客户端。

 

4、用户在登录界面输入用户名和密码并提交。此时浏览器会将用户名和密码和cookie值等信息提交到服务端。此时http请求的头部信息会包含:Cookie:PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2

 

5、当数据到达服务端,PHP会根据cookie内容找到session文件SESS_ ug9gch0ns7nql4gjoe3jckdab2 并将该文件读入$_SESSION 变量。然后验证用户名和密码。验证通过了。就将该用户的相关信息,比如用户名、系统权限等写入到$_SESSION 变量中。cookie没有改变。脚本执行结束时,$_SESSION变量的值会被序列化后写入SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。

验证不通过,则跳转回登录页,cookie没有改变,$_SESSION也没有新增值。

 

6、如果用户完成登录进入系统了,以后每访问一个页面,系统会获取该客户端浏览器传过来的cookie值,然后根据cookie值获取到对应的session文件,读取session文件并解序列化写入到内存中即$_SESSION变量中。接着服务端系统接口处会验证该$_SESSON文件中是否有之前设置的用户信息,如用户名和系统权限等。如果有,则说明该用户已经登录,如果没有,则说明该用户登录过期或者未登录,跳转到登录页面。

 

使用cookie来实现登录就不会再使用到session了。如文章开头所述,cookie实现登录需要将用户的信息进行单向加密。然后通过验证该密文确认用户是否已经登录。也许大家会感觉使用session验证登录的步骤比cookie的简单许多。其实只是需要我们处理的步骤比较少而已,有一部分是语言编译器内部实现的。比如session文件的生成匹配。所以到我们自己操作的步骤就会相对较少。cookie实现登录主要依靠单向加密验证,比如用户登录时对”用户名+用户密码+cookie过期时间+盐”这些信息进行md5签名,然后将该签名放到cookie中,当然cookie值还包含用户名和cookie值的过期时间,比如:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c。后面用户每次访问都获取到这个cookie值,拆分后根据用户名和cookie值的过期时间,加上从数据库获取的用户密码和盐值,进行md5签名,然后对两步签名进行比对,如果一致,则说明是已登录的用户。

 

由于用户每次访问都要验证cookie里的签名,也就是每次都要获取用户密码和盐值。一般这些信息都是存在数据库中。所以使用cookie实现登录,会对数据库的用户表造成极大的压力。而session方式则不存在这个问题,因为session是存在文件中,用户每次访问,PHP会将该用户对应的session文件读入内存。然后再去访问$_SESSION变量获取。但是session这样处理的缺点是,当用户量特别多的时候,每个用户都会产生一个session文件,这意味着服务器的压力倍增。就算做分布式,也还要处理session的集群。

 

当然,session也可以写入数据库,或者写入缓存。如果session写入数据库,那么又回到刚才cookie每次访问都要查询数据库的问题了。如果是写入缓存,倒也是权宜之计。如果在使用cookie登录的步骤中将用户信息写入缓存,那么这种方式也可以减缓数据库的压力。每次验证时如果缓存中没有再去查询数据库。这样也不失为一个可行之计。

 

当然,也可以对用户表进行分表并作一主库多从库处理。在大用户量情况下,单使用数据库,应该也能支撑吧。

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。

暂无文章

asp.net core之NLog

NuGet添加 NLog.Web.AspNetCore。 <PackageReference Include="Microsoft.AspNetCore.App" /> 添加配置文件 新建一个文件nlog.config(建议全部小写,linux系统中要注意), 并右键点击其属性......

一介草民Coder
34分钟前
23
0
.NET中的struct和class有什么区别? - What's the difference between struct and class in .NET?

问题: .NET中的struct和class有什么区别? 解决方案: 参考一: https://stackoom.com/question/3OT/NET中的struct和class有什么区别 参考二: https://oldbug.net/q/3OT/What-s-the-differ...

富含淀粉
今天
23
0
android:layout_weight是什么意思? - What does android:layout_weight mean?

问题: I don't understand how to use this attribute. 我不明白如何使用这个属性。 Can anyone tell me more about it? 谁能告诉我更多关于它的事情? 解决方案: 参考一: https://stacko...

javail
今天
17
0
CSS背景不透明度[重复] - CSS Background Opacity [duplicate]

问题: This question already has an answer here: 这个问题已经在这里有了答案: How do I give text or an image a transparent background using CSS? 如何使用CSS为文本或图像提供透明背...

fyin1314
今天
31
0
node http 获取gb2312网页如何转为utf8

最初,我想当然认为是下述做法,但被证明是错误的 const http = require('http'), iconv = require('iconv-lite');const url = 'http://xxx';http.get(url, function(res) { var bo......

高延
今天
24
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部