PHP cookie缓存替代session

最新推荐文章于 2021-03-12 01:38:24 发布
翻译 最新推荐文章于 2021-03-12 01:38:24 发布 · 647 阅读 · 0
文章标签:

#cookie #session #http协议

本文介绍了一种不依赖Session的用户登录验证方法,该方法通过在服务器端生成包含用户ID、过期时间和SHA1签名的cookie,由客户端保存并在后续请求中提供给服务器验证。这种方法保证了服务器处理请求的无状态性,易于扩展。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用户登录比用户注册复杂。由于HTTP协议是一种无状态协议,而服务器要跟踪用户状态,就只能通过cookie实现。大多数Web框架提供了Session功能来封装保存用户状态的cookie。

Session的优点是简单易用,可以直接从Session中取出用户登录信息。

Session的缺点是服务器需要在内存中维护一个映射表来存储用户登录信息,如果有两台以上服务器,就需要对Session做集群,因此,使用Session的Web App很难扩展。

我们采用直接读取cookie的方式来验证用户登录,每次用户访问任意URL,都会对cookie进行验证,这种方式的好处是保证服务器处理任意的URL都是无状态的,可以扩展到多台服务器。

由于登录成功后是由服务器生成一个cookie发送给浏览器,所以,要保证这个cookie不会被客户端伪造出来。

实现防伪造cookie的关键是通过一个单向算法(例如SHA1),举例如下:
当用户输入了正确的口令登录成功后,服务器可以从数据库取到用户的id,并按照如下方式计算出一个字符串:

“用户id” + “过期时间” + SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)

当浏览器发送cookie到服务器端后,服务器可以拿到的信息包括:

用户id

过期时间

SHA1值

如果未到过期时间,服务器就根据用户id查找用户口令,并计算:

SHA1(“用户id” + “用户口令” + “过期时间” + “SecretKey”)

并与浏览器cookie中的MD5进行比较,如果相等,则说明用户已登录,否则,cookie就是伪造的。

这个算法的关键在于SHA1是一种单向算法,即可以通过原始字符串计算出SHA1结果,但无法通过SHA1结果反推出原始字符串。

所以登录API可以实现如下:

public function login(Request $request){
        $username = $request->param('username');
        $password = $request->param('password');
        //查询用户是否存在
        $user = Db::table('users')->where('username',$username)->find();
        // 验证用户密码是否正确
        // ......
        Cookie::set('user_login',$this->userCookie($user,86400));
        return json(['code'=>1]);
    }
    // 加密
    private function userCookie($user,$max){
        $expireTime = time() + $max;
        $str = $user['id'].'-'.$user['username'].'-'.$expireTime.'-'.self::COOKIE_KEY;
        $arr = array($user['id'],$expireTime,sha1($str));
        return implode('-',$arr);
    }

对于每个URL处理函数,如果我们都去写解析cookie的代码,那会导致代码重复很多次。

利用中间件在处理URL之前,把cookie解析出来:

public function getinfo()
{
    $cookieStr = Cookie::get('user_login');
    $user = $this->cookieUser($cookieStr);
    return json($user);
}

// 解密
private function cookieUser($cookieStr){
    $arr = explode('-',$cookieStr);
    if(count($arr)!=3){
        return false;
    }
    list($id,$expireTime,$sha1) = $arr;
    if($expireTime < time()){
        return false;
    }
    $user = Db::table('users')->where('id',$id)->find();
    if(empty($user)){
        return false;
    }
    $str = $user['id'].'-'.$user['username'].'-'.$expireTime.'-'.self::COOKIE_KEY;
    if($sha1 != sha1($str)){
        return false;
    }
    return $user;
}
PHP基础-8】Cookie机制详解及Cookie身份认证应用案例
m0_64378913的博客
04-06 2871
目录1 Cookie 概述1.1 Cookie 机制1.2 什么是Cookie1.3 Cookie 认证机制1.4 Cookie 属性1.5 Cookie的安全性问题2 Cookie 应用2.1 Cookie 相关操作命令2.2 应用案例实验2.2.1 实验要求2.2.2 实验环境2.2.3 案例代码2.2.4 案例测试3 Cookie攻击与防护3.1 Cookie攻击3.1.1 Cookie捕获/重放3.1.2 恶意 Cookies3.1.3 会话定置3.1.4 CSR
利用Memcached在php下实现session机制 替换PHP的原生session支持
10-28
Memcached是一个高性能的分布式内存对象缓存系统,它可以用来缓存各种数据,包括session数据。Memcached使用内存来存储数据,所以它的读写速度非常快,远超过传统的文件存储系统。利用Memcached实现session管理,...
PHP使用Redis替代文件存储Session的方法
10-20
主要介绍了PHP使用Redis替代文件存储Session的方法,结合实例形式较为详细的分析了Session的基本操作方法及使用Redis存储session的相关技巧,需要的朋友可以参考下
PHP替代session的方法
newmiracle学习天地
06-27 702
PHP替代session的方法 服务器集群的时候 会发现session的问题 所以打算用替代session的方法 1 如果有账号登录 就用账号作为唯一标识 进行记录 如果没有就只能采取第二种方法 2 用swoole 进行长连接 因为每个用户每次连接服务器 都会生成个fid 这个fid就是代表用户的标识 进行记录查看原文:http://newmiracle.cn/?p=1699
tomcat集群中Cookie代替session(java)
qq_37519791的博客
05-14 205
#可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.” #tomcat8.5 以后前面不需要加‘.’ cookie.domain=.test.com /** cookie可访问域名*/ public final static String COOKIE_DOMAIN = PropertyLoader.getThirdConfigValue("cookie.domain"); CookieU.
关于使用加密cookie取代session
highriver
03-03 204
目前公司想要做集群,请问关于使用加密cookie取代session方案.
使用加密cookie代替session验证用户登录状态
kerlubasola
05-22 438
http://rayyu.5d6d.net/thread-9444-1-1.html 首先 session 和 cache 拥有各自的优势而存在.他们的优劣就不在这里讨论了. 以下类实现了 使用加密cookie代替session验证用户登录状态 支持 1小时/1周 有效期2种模式 (期间有新的请求则更新失效时间) vs2010项目(同样适合05,08项目...
PHPSession可能会引起并发问题
12-18
PHP的Web应用程序开发中,Session是一个常用的工具,用于存储用户状态信息,便于跨页面保持用户的登录状态和其他个性化数据。然而,如果不理解其工作原理,Session可能会引发并发问题,导致性能下降,特别是在高...
php下用cookie统计用户访问网页次数的代码
12-17
总的来说,PHPCookie机制是实现用户访问量统计的有效手段,但同时也需要考虑兼容性问题和可能的替代方案。通过合理的编程和设计,你可以为用户提供更个性化的体验,同时准确地跟踪和分析网站的使用情况。
Redis在对象缓存管理中的应用及其Session替代方案
在这篇博文中提到的使用Redis来管理对象缓存,不仅可以提高应用程序的性能,而且还可以在一定程度上替代session的管理,这是目前很多高并发系统的标准做法。 ### Redis基础知识 Redis是一个开源的高性能键值存储...
java中使用Cookie替代Session解决跨域Session失效问题
一曲破东风的专栏
06-23 3493
java中使用Cookie替代Session解决跨域Session失效问题
php 设置cookie修改cookie
wmsjlihuan的专栏
03-07 9579
php里设置cookie setCookie('seckillPhone',‘13277777777’,time()+30*24*60*60,'/'); 如果想要修改cookie的值,任然使用setCookie(),会覆盖相同名称的cookie值 setCookie('seckillPhone',‘13288888888’,time()+30*24*60*60,'/');
PHP 原生 Session 类库,可完全替代 CI 自己的 Session 类库
程序员写的技术 FAQ 和杂文
12-25 1979
转自:http://codeigniter.org.cn/forums/thread-4007-1-1.html 这个是我平时使用的 Session 类库,用的是 PHP 自己的 Session 机制,是真正的 PHP Session,存储在服务器端,而不是用的 cookie,所以适应能力更好。 并且,接口完全兼容于 CI 2.0.x 的 Session 类库,也就是说可以不修改原来的代码,直
在大型网站中用cookie替代SESSION的可行性分析
qiao88的专栏
03-18 226
[quote]http://bbs.chinaunix.net/viewthread.php?tid=924512[/quote]
php token和session,token、cookiesession三者的问题和解决方案
weixin_39972777的博客
03-10 457
移动互联网的繁荣,出现很多客户端,不同于以往的浏览器,有的终端是不支持cookie的,传统浏览器cookie的模式不太适用。用户数量的增多,传统的服务端存储session的方式,面对负载均衡多服务器的部署方式,不好解决用户登录的问题。面对这两个问题,出现了token的验证方式,下面均益数一下三者的区别和问题,以及解决方案。cookie:cookie是存在浏览器的标识用户的方式,由服务端为每一个用户...
php cookies缓存,php session缓存cookies替代如何
weixin_31171307的博客
03-12 83
我自己写的PHP 7开发框架里已经没有了session概念我想让使用者使用缓存+cookies来解决问题其实我想知道, 单纯维护用户登录用 cookies 对称加密储存然后php解密查表与 session 记录用户uid 然后查表 其实没什么本质区别题外话cookies储存用户的 哈希后的密码 与 用户名 每次都模拟登录一次也并非不可行吧其实数据库或缓存的数据应该可以媲美session的实用...
php手记(替代语法、COOKIE及时生效)
avo50465的博客
12-22 105
为方便区分流程语句的开始和结束位置,可以使用PHP提供的替代语法进行编码。 左花括号({) - 替换成 → 冒号(:) 右花括号(}) - 替换成 → “endif;” "endwhile;" "endfor;" "endforeach;" "endswitch;" 质数(prime number)又称素数,有无限个。 质数定义为在大于1的自然数中,除了1和它本身以外不再有其他因数。 P...
PHP Cookie本地存储
sanshuiwang
07-22 1245
cookie用来存储用户相关数据,存储的位置在用户本地: php: "key"值为存储所设置的键值,"value"为存储的值(与key对应);"time"是存储的时间。 setcookie("key","value","time"); 读取cookie:$_COOKIE 删除cookie:setcookie()的时间设置为过期。 例子: 登录.html html> html l
php cookies缓存,phpsession缓存cookies替代如何
weixin_35864328的博客
03-12 139
我自己写的PHP 7开发框架里已经没有了session概念我想让使用者使用缓存+cookies来解决问题其实我想知道, 单纯维护用户登录用 cookies 对称加密储存然后php解密查表与 session 记录用户uid 然后查表 其实没什么本质区别题外话cookies储存用户的 哈希后的密码 与 用户名 每次都模拟登录一次也并非不可行吧其实数据库或缓存的数据应该可以媲美session的实用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值