【web】SESSION的原理以及跨域验证

最新推荐文章于 2021-07-27 19:30:59 发布
最新推荐文章于 2021-07-27 19:30:59 发布
阅读量545 收藏
点赞数
分类专栏: PHP实践问题集锦 文章标签: session http php
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/diandianxiyu_geek/article/details/107359519
版权
这篇博客探讨了Web应用中的SESSION原理,包括为何需要SESSION来处理HTTP无状态问题,SESSION的生成、校验及如何在PHP中实现跨域验证。通过分析PHP原生、Yii2和Laravel框架下的实现方法,阐述了如何修改SESSION作用域以实现子域名间的身份认证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、适用范围

仅限于web端的身份验证,和app端使用的jwt验证是不同的。

二、SESSION

为什么存在SESSION

首先,HTTP是无状态的,每次请求相互独立,这样就会造成,你不认识我,我也不认识你。

但显然这样是不能满足需求的,对于用户体系的网址,我们需要知道每次请求的用户是谁,这样才可以在这个基础上对用户的数据进行操作。

那么,如果服务器保存一个用户标识,每次客户端请求数据都带着标识,这个服务器就知道是哪个用户进行的操作,这也就是为什么存在SESSION

SESSION的生成和校验

  1. 客户端第一次访问服务器,会生成唯一的sesssion_id ,这个session会保存在服务器,服务器知道了session_id对应的用户身份。客户端把session_id保存在本地的cookie中

在这里插入图片描述

  1. 客户端再次请求服务器,会在header中带着对应的s
了解本专栏 订阅专栏 解锁全文
解决前后端分离开发中登录验证码 session不一致问题
weixin_44543219的博客
06-16 2959
使用工具:HBuilderX 使用语言:H5、jQuery、CSS 开发模式:前后端分离前后端分离开发模式下,实现网页的验证登录问题点1的解决方案:问题点2的解决方案:问题点3的解决方案:通过blob的处理,生成一个URL,作为图片的src属性的值,显示验证码图片问题点4的解决方案:加上时间戳,可以实现点击图片换一张的效果 获取验证码 点击登录验证 4.获取用户信息 5.页面加载事件 6.全局参数...
处理session几种方案
11-22
class Session { //mysql的主机地址 const db_host = "localhost"; //需要第三方指定ip地址 //数据库用户名 const db_user = "root"; //需要第三方指定自己的用户名 //数据库密码 const db_pwd = ""; //需要第三方指定自己的库据库密码 //数据库 const db_name = "thinkphp"; //需要第三方指定数据库 //数据库表 const db_table = "tbl_session"; //需要第三方指定数据表 //mysql-handle private $db_handle; //session-lifetime private $lifeTime; function open($savePath, $sessName) { // get session-lifetime $this--->lifeTime = get_cfg_var("session.gc_maxlifetime"); // open database-connection $db_handle = @mysql_connect(self::db_host, self::db_user, self::db_pwd); $dbSel = @mysql_select_db(self::db_name, $db_handle); // return success if(!$db_handle || !$dbSel) return false; $this->db_handle = $db_handle; return true; } function close() { $this->gc(ini_get('session.gc_maxlifetime')); // close database-connection return @mysql_close($this->db_handle); } function read($sessID) { // fetch session-data $res = @mysql_query("SELECT session_data AS d FROM ".self::db_table." WHERE session_id = '$sessID' AND session_expires > ".time(), $this->db_handle); // return data or an empty string at failure if($row = @mysql_fetch_assoc($res)) return $row['d']; return ""; } function write($sessID, $sessData) { // new session-expire-time $newExp = time() + $this->lifeTime; // is a session with this id in the database? $res = @mysql_query("SELECT * FROM ".self::db_table." WHERE session_id = '$sessID'", $this->db_handle); // if yes, if(@mysql_num_rows($res)) { // ...update session-data @mysql_query("UPDATE ".self::db_table." SET session_expires = '$newExp', session_data = '$sessData' WHERE session_id = '$sessID'", $this->db_handle); // if something happened, return true if(@mysql_affected_rows($this->db_handle)) return true; } else // if no session-data was found, { // create a new row @mysql_query("INSERT INTO ".self::db_table." ( session_id, session_expires, session_data) VALUES( '$sessID', '$newExp', '$sessData')", $this->db_handle); // if row was created, return true if(@mysql_affected_rows($this->db_handle)) return true; } // an unknown error occured return false; }
Session共享解决方案
qq_18991813的博客
08-20 2349
一、Session 所谓session就是摒弃了系统(tomcat)提供的session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。如:通过设置cookie的domain来实现cookie的传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务...
SESSION的问题
cuizh1983的专栏
08-11 3504
<br />IE不允许访问cookie(好象firefox没问题,ie自6.0以后改用w3c组织的P3P协议了.p3p是微软的隐私策略,通常情况下iframe或者frameset默认采用的隐私策略为“中”,该级别的策略拒绝保留session。CAO PSA OUR则意味着你同意保留session,但是也意味着你的网站不再安全。).<br /> <br />在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多的情况下,而Iframe是不能保存Session的因此,
Session问题
weixin_30518397的博客
06-09 92
Session主要分两部分: 一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在,而非存储在服务器的内存中; 另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Se...
java web session共享(redis)
04-14
session共享
asp.net基于JWT的web api身份验证调用实践
10-18
本文将介绍使用 JWT(JSON Web Tokens)在 *** 中实现 Web API 身份验证以及如何处理调用的实践技巧。 首先,我们来解释什么是 JWT。JWT 是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于...
浅谈AjaxSession访问
10-25
总结一下,Ajax请求和Session处理都是Web开发中较为复杂的问题,开发者需要理解浏览器同源策略、JSONP和CORS的工作原理,以及Session的存储和管理机制。在实际开发中,建议使用CORS来实现更安全、功能更全面...
解决springboot实现session共享问题
01-25
然而,随着Web服务的复杂性和交互性增加,资源共享(CORS)和会话(Session)共享成为开发者需要面对的重要问题。本文将详细讲解如何在Spring Boot应用中解决session共享的问题,并探讨防止SQL注入的相关...
web session token 和 防攻击
harryhare的专栏
10-16 834
主要是推荐一下这篇: 实现一个靠谱的Web认证 下文主要是自己看过的理解。顺便说下这个人的其他文章也很赞。 session 和 token session id 比较常见,就不多说了,这里先科普下无状态的token验证: 干掉状态:从session到token 图是从上面的链接中偷的。 总结下,就是: login_handler(){ signature = hash(user_info, p...
Session原理及验证码案例
星空之尘的博客
08-18 1149
Session
ASP.NET单点登录的实现(SSO)
12-17
一个简单的单点登录功能,实现了的单点登录 多个站点之间只需登录一次
服务以及Session保持问题
热门推荐
zhaoenweiex的博客
09-03 1万+
前言随着前后端分离以及微服务的应用越来越广,session保持问题已经是大家所熟知的问题,由于项目需要本周进行了相应资料的调研和测试,最终在客户端,前台,代理,服务端等多个层面上共同解决了这个问题,特别在此记录一下,希望能帮助大家。来自于浏览器的安全基石,即”同源政策”(same-origin policy)。
session及解决办法
hw120219的博客
07-31 5249
什么是session共享 在分布式系统中,所有服务器的session应该统一管理,不能如传统一般,各个服务器保存各自的session。例如单点登录问题,就用到了session共享。session共享带来的新的问题,就是如何才能session。 什么是session 客户端请求的时候,请求的服务器,不是同一个IP,端口,名,主机名的时候,都称为 如果session是无法被浏览器...
解决浏览器请求session同步问题
peng_wei_kang的博客
07-09 3400
浏览器存在请求浏览器存在请求问题主要来源于一下几点: 1.浏览器自身存在安全性校验。 2.数据请求的名与网页加载名不同。 3.数据请求的端口与网页加载的端口不一致。传统解决办法如下:import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; i...
用户登录权限校验和处理问题
osp2010的博客
01-03 1258
以下内容主要是:使用注解+session+拦截器+处理 一 新增注解@UserLoginToken @Retention(RetentionPolicy.RUNTIME) public @interface UserLoginToken { boolean required() default true; } 二 增加拦截器 @Override publ...
前后端交互中的,cookie,session问题
weixin_51671677的博客
07-27 1358
*前后端交互中的,cookie,session问题 一· 1.概念 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。是指不同之间相互访问。 也就是如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容 。如果A网站与B网站不在同一个中,那么就出现了访问问题。 2.判断是否的条件 同一协议,同一ip,同一端口,这三者中有一个不同就产生了。 URL 说明 是否允许通信 **特别注意两点: 第一, 如果是协议
如何实现Session共享
丁丁丁梦涛的博客
06-12 1057
文章目录面试官意图问题思路解决方案基于NFS的Session共享基于数据库的Session共享基于Cookie的Session共享基于Memcache的Session共享总结 面试官意图 问题思路 解决方案 基于NFS的Session共享 NFS是Net FileSystem的简称,最早由Sun公司为解决Unix网络主机间的目录共享而研发。 这个方案实现最为简单,无需做过多的二次开发,仅需将共享目录服务器mount到各频道服务器的本地session目录即可,缺点是NFS依托 于复 杂的安全机制和文件系统,因
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小雨青年

程序员可以把咖啡转化成代码~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值