web 开发常见问题--Session 与 Cookie 却别
总结:
1.首先,session与cookie都是保存数据的,存在的原因很大程度上是为了解决HTTP协议的无状态特性
2.都是保存数据,却别在于cookie保存在客户端,由浏览器管理,session保存在服务器端,由服务器管理
3.cookie有多个属性:
名称 --name, 值--value,
失效时间(不设置为会话cookie随浏览器关闭失效), secure(该Cookie是否仅被使用安全协议传输,https,ssl等),
path(设置路径后只能在此目录下使用), domain(可使用该cookie的域名),
comment(该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明),
version(该Cookie使用的版本号)
4.客户端请求数据时,携带session id时,则找到对应session 并使用,没有则创建session并根据自己的算法生成session id,并将在本次响应中返回给客户端保存,默认使用cookie保存,
5.因为session id 保存在cookie中,所以禁用cookie session会失效,然后session id还可以保存在其他地方,php.ini中,session.use_cookies = 1指定是否在客户端用 cookie 来存放会话 SID。可以设置session id的保存形式,如果客户端Cookie禁用,则服务器可以自动通过重写URL的方式来保存Session的值
6.一般情况,session保存在服务器内存中,如果设置了Session的持久化特性,服务器就会把Session保存到硬盘上
7.cookie保存在客户端,http请求时cookie会被携带在报头,所以cookie过大会很占带宽,session保存在服务器内存,所以session过大会很占服务器内存
8.session id的生成:PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器)
hash_func表示使用哪种hash函数来生成,目前支持两种:是使用md5还是sha1函数来做hash。
分割线----------------------------------------------------------------------------------------------------------------------------------------------------
请看详细介绍:
首先,cookie是什么? ---储存在用户本地终端上的数据
除了知道这一点,我们还有了解的是:
Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。
Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样,因此Google不能操作Baidu的Cookie。需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。
注意:用户登录网站www.google.com之后会发现访问images.google.com时登录信息仍然有效,而普通的Cookie是做不到的。这是因为Google做了特殊处理(域名处理)。设置Cookie的所有属性
除了name与value之外,Cookie还具有其他几个常用的属性。每个属性对应一个getter方法与一个setter方法。Cookie类的所有属性如表1.1所示。
表1.1 Cookie常用属性
|
属 性 名 |
描 述 |
|
String name |
该Cookie的名称。Cookie一旦创建,名称便不可更改 |
|
Object value |
该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码 |
|
int maxAge |
该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1 |
|
boolean secure |
该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false |
|
String path |
该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/” |
|
String domain |
可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.” |
|
String comment |
该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明 |
|
int version |
该Cookie使用的版本号。0表示遵循Netscape的Cookie规范,1表示遵循W3C的RFC 2109规范 |
Cookie的域名
Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。隐私安全机制能够禁止网站非法获取其他网站的Cookie。
正常情况下,同一个一级域名下的两个二级域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有helloweenvsfei.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数,例如:
Cookie cookie = new Cookie("time","20080808"); // 新建Cookie
cookie.setDomain(".helloweenvsfei.com"); // 设置域名
cookie.setPath("/"); // 设置路径
cookie.setMaxAge(Integer.MAX_VALUE); // 设置有效期
response.addCookie(cookie); // 输出到客户端
那么session又是什么? --与之对应的,session就是保存在服务器的数据
当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。 保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID。服务器也可以通过URL重写的方式来传递SessionID的值,因此不是完全依赖Cookie。如果客户端Cookie禁用,则服务器可以自动通过重写URL的方式来保存Session的值,并且这个过程对程序员透明。
php.ini中有个配置项:
session.use_cookies = 1指定是否在客户端用 cookie 来存放会话 SID。
一般情况下,Session都是存储在内存里,当服务器进程被停止或者重启的时候,内存里的Session也会被清空,如果设置了Session的持久化特性,服务器就会把Session保存到硬盘上,当服务器进程重新启动或这些信息将能够被再次使用。
session的生成是靠服务器上算法,一下引入PHP5.3.6的源码,进入/ext/session目录,生成session id的函数位于session.c文件的345行:
"(引入符合)
session id的值看c语言源码,可以看到是怎么生成的
PHPSESSIONID = hash_func(客户端IP + 当前时间(秒)+ 当前时间(微妙)+ PHP自带的随机数生产器)
hash_func表示使用哪种hash函数来生成,目前支持两种:是使用md5还是sha1函数来做hash。
php.ini中可以配置
php官网是这样解释:
session.hash_function integer
session.hash_function 允许用户指定生成会话 ID 的散列算法。'0' 表示 MD5(128 位),'1' 表示 SHA-1(160 位)。
PHPAPI char *php_session_create_id(PS_CREATE_SID_ARGS) /* {{{ */ { //这几行行定义了些散列函数所需的数据,直接越过~ PHP_MD5_CTX md5_context; PHP_SHA1_CTX sha1_context; #if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH) void *hash_context; #endif unsigned char *digest; int digest_len; int j; char *buf, *outid; zval **array; zval **token; //用来记录$_SERVER['REMOTE_ADDR']的值 char *remote_addr = NULL; //一个timeval结构,用来记录当前的时间戳及毫秒数 struct timeval tv; gettimeofday(&tv, NULL); //如果可能的话,就对remote_ADDR进行赋值,用php伪代码表示便是: //if(isset($_SERVER['REMOTE_ADDR'])) //{remote_addr = $_SERVER['REMOTE_ADDR'];} //备注:在cli模式下是没有的~ if ( zend_hash_find( &EG(symbol_table), "_SERVER", sizeof("_SERVER"), (void **) &array ) == SUCCESS && Z_TYPE_PP(array) == IS_ARRAY && zend_hash_find( Z_ARRVAL_PP(array), "REMOTE_ADDR", sizeof("REMOTE_ADDR"), (void **) &token ) == SUCCESS ) { remote_addr = Z_STRVAL_PP(token); } /* maximum 15+19+19+10 bytes */ //生成所需的session id,当然后面还需要后续的处理~ //格式为:%.15s%ld%ld%0.8F,每一段的含义如下: //%.15s remote_addr ? remote_addr : "" 这一行很容易理解 //%ld tv.tv_sec 当前的时间戳 //%ld (long int)tv.tv_usec 当前毫秒数 //%0.8F php_combined_lcg(TSRMLS_C) * 10 一个随机数 spprintf( &buf, 0, "%.15s%ld%ld%0.8F", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10 ); //下面对buf字符串的值进行散列处理 //检测session配置中的散列函数 /* 300行: enum{ PS_HASH_FUNC_MD5, PS_HASH_FUNC_SHA1, PS_HASH_FUNC_OTHER }; 812行: PHP_INI_ENTRY("session.hash_function","0",PHP_INI_ALL,OnUpdateHashFunc) 738行: static PHP_INI_MH(OnUpdateHashFunc) { ...... ...... val = strtol(new_value, &endptr, 10); if (endptr && (*endptr == '\0')) { /* Numeric value */ PS(hash_func) = val ? 1 : 0; return SUCCESS; } ...... ...... 可知PS(hash_func)的默认值为0,即PS_HASH_FUNC_MD5。 */ switch (PS(hash_func)) { //如果是md5,则用md5算法对我们的buf串进行散列处理。 case PS_HASH_FUNC_MD5: PHP_MD5Init(&md5_context); PHP_MD5Update(&md5_context, (unsigned char *) buf, strlen(buf)); digest_len = 16; break; //如果是SHA1,则用SHA1算法对我们的buf串进行散列处理。 case PS_HASH_FUNC_SHA1: PHP_SHA1Init(&sha1_context); PHP_SHA1Update(&sha1_context, (unsigned char *) buf, strlen(buf)); digest_len = 20; break; #if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH) case PS_HASH_FUNC_OTHER: if (!PS(hash_ops)) { php_error_docref( NULL TSRMLS_CC, E_ERROR, "Invalid session hash function" ); efree(buf); return NULL; } hash_context = emalloc(PS(hash_ops)->context_size); PS(hash_ops)->hash_init(hash_context); PS(hash_ops)->hash_update(hash_context, (unsigned char *) buf, strlen(buf)); digest_len = PS(hash_ops)->digest_size; break; #endif /* HAVE_HASH_EXT */ //如果没有散列函数,则报错,还是E_ERROR级别的,囧~ default: php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function"); efree(buf); return NULL; } //释放buf~ //囧,那内容呢,内容已经去我们的hash_context里,比如md5_context、sha1_context。。。。。。 efree(buf); /* session.entropy_file 给出了一个到外部资源(文件)的路径, 该资源将在会话 ID 创建进程中被用作附加的熵值资源。 例如在许多 Unix 系统下都可以用 /dev/random 或 /dev/urandom。 session.entropy_length 指定了从上面的文件中读取的字节数。默认为 0(禁用)。 如果entropy_length这个配置大于0,则: */ if (PS(entropy_length) > 0) { #ifdef PHP_WIN32 unsigned char rbuf[2048]; size_t toread = PS(entropy_length); if (php_win32_get_random_bytes(rbuf, (size_t) toread) == SUCCESS) { switch (PS(hash_func)) { case PS_HASH_FUNC_MD5: PHP_MD5Update(&md5_context, rbuf, toread); break; case PS_HASH_FUNC_SHA1: PHP_SHA1Update(&sha1_context, rbuf, toread); break; # if defined(HAVE_HASH_EXT) && !defined(COMPILE_DL_HASH) case PS_HASH_FUNC_OTHER: PS(hash_ops)->hash_update(hash_context, rbuf, toread); break; # endif /* HAVE_HASH_EXT */ } } #else int fd; fd = VCWD_OPEN(PS(entropy_file), O_RDONLY); if (fd >= 0) { unsigned char rbuf[2048]; int n; int to_read = PS(entropy_length); while (to_read > 0) { n = read(fd, rbuf, MIN(to_read, sizeof(rbuf))); if (n hash_update(hash_context, rbuf, n); break; #endif /* HAVE_HASH_EXT */ } to_read -= n; } close(fd); } //结束entropy_length>0时的逻辑 #endif } //还是散列计算的一部分,看来我们的hash_final(digest, hash_context); efree(hash_context); break; #endif /* HAVE_HASH_EXT */ } /* session.hash_bits_per_character允许用户定义将二进制散列数据转换为可读的格式时每个字符存放多少个比特。 可能值为 '4'(0-9,a-f),'5'(0-9,a-v),以及 '6'(0-9,a-z,A-Z,"-",",")。 */ if (PS(hash_bits_per_character) < 4 || PS(hash_bits_per_character) > 6) { PS(hash_bits_per_character) = 4; php_error_docref( NULL TSRMLS_CC, E_WARNING, "The ini setting hash_bits_per_character is out of range (should be 4, 5, or 6) - using 4 for now" ); } //将我们的散列后的二进制数据digest用字符串表示成可读的形式,并放置在outid字符串里 outid = emalloc((size_t)((digest_len + 2) * ((8.0f / PS(hash_bits_per_character)) + 0.5))); j = (int) (bin_to_readable((char *)digest, digest_len, outid, (char)PS(hash_bits_per_character)) - outid); efree(digest); if (newlen) { *newlen = j; } //返回outid return outid; }
"
