我正在尝试专业地理解 Cookie 和会话。我知道当浏览器连接到服务器时,服务器“要求”浏览器在客户端浏览器cookie文件夹中“粘贴”带有“phpsessid”的cookie。
现在我们有了“phpsessid”,如果客户端进入服务器,浏览器会向服务器发送“phpsessid”,服务器会查看tmp文件夹,如果我们有匹配项,它会加载回用户拥有该客户端的所有数据,但我对这个过程有点困惑。
如果有人能帮助我了解创建会话和cookie的过程 - 幕后发生的事情,我将不胜感激。
让我们来看看这个:
Cookie 和会话都是在浏览器发出的不同请求之间保留应用程序状态的方法。例如,多亏了他们,您不需要每次在StackOverflow上请求页面时都登录。
Cookie 是一小段数据(最大长度为 4KB),它以键=值对的形式保存数据:
name=value; name2=value2
这些由JavaScript设置,或者通过使用HTTP标头通过服务器设置。
Cookie 设置了到期日期时间,例如使用 HTTP 标头:
Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT
这将导致浏览器设置一个名为 值 的 cookie,该值将在大约 9 年后过期。name2value2
Cookie 被认为是高度不安全的,因为用户可以轻松操作其内容。因此,您应该始终验证 Cookie 数据。不要以为你从饼干中得到的一定是你所期望的。
Cookie 通常用于保留登录状态,其中用户名和特殊哈希从浏览器发送,服务器根据数据库检查它们以批准访问。
Cookie 也经常用于会话创建。
会话略有不同。每个用户都会获得一个会话 ID,该 ID 通过 cookie 或 GET 变量发送回服务器进行验证。
会话通常持续时间较短,这使得它们在应用程序之间保存临时状态时非常理想。一旦用户关闭浏览器,会话也会过期。
会话被认为比 Cookie 更安全,因为变量本身保存在服务器上。以下是它的工作原理:
$_SESSION如果 PHP 找不到匹配项,它将启动一个新会话,并重复 1-7 中的步骤。
您可以将敏感信息存储在会话上,因为它保存在服务器上,但请注意,如果用户(比方说)通过不安全的WiFi登录,会话ID仍可能被盗。(攻击者可以嗅探cookie,并将其设置为自己的cookie,他不会看到变量本身,但服务器会将攻击者识别为用户)。
这就是它的要点。您可以在 PHP 手册中了解有关这两个主题的更多信息。
