总结一下PHP中的会话机制(keep-alive,Session,cookie)以及JWT

最新推荐文章于 2021-04-10 22:49:47 发布
最新推荐文章于 2021-04-10 22:49:47 发布
阅读量1.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44187959/article/details/92565504

【1、先大概了解http服务器的握手吧】

在说会话之前我们顺带了解一下http的工作原理。由于本文需要大概先说说。具体参考单独的开篇文章,日后会放出地址。
在这里插入图片描述
我们现说说过程吧。首先用户根据浏览器输入的地址经过dns的解析 会发送到对应的服务器上进行处理。

第一次握手

主机A发送位码为syn=1,随机产生seq number=1234567的数据包到服务器,主机B由SYN=1知道,A要求建立联机;

第二次握手

主机B收到请求后要确认联机信息,向A发送ack number=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包

第三次握手

主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送ack number=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。

完成三次握手,主机A与主机B开始传送数据。这个过程之后客户机开始和服务器之间传送,客户机发送请求信息,服务器返回对应的内容。但是服务器面向的是千千万万的客户机,不可能为每个客户机长时间的占用连接通道。所以服务器一般会应答之后关闭http连接。如果客户机在完成请求之后还需要发送其他请求信息,那么需要服务器和客户端再次建立http握手协议。 是不是觉得有些麻烦。。。。

**

【2、简述一下应运而生的keep-alive】

如上文所说的那样。每次都需要建立新的连接太过于麻烦,通常技术的迭代并不是因为老旧的技术不能使用,而是原先的设计理念不适合于现有的状态下,所以我们必须要做出改变。我们通常的想法就是让http服务器将用户的握手状态保持一段时间。所以各个http服务器软件开发出了 keep-alive 具体设置如下,这里只见简述一下,具体等后面的具体开篇文章。
在这里插入图片描述

【3、客户机的身份证–Cookie】

上一段我我们说完keep-alive了,但是现在我们又多了一个问题,在keep-alive的保持时间内我们有办法识别出该用户。但是出了这个时间段,用户再来访问这个网站还是需要重新会话,重新认证身份。所以又出了一门新的技术–cookie
在每个浏览器的application选项里面会保存各个网站的cookie。
在这里插入图片描述
就拿csdn举例,我们可以将用户的部分信息保存在浏览器的cookie里面,每一次http请求 浏览器会将cookie 带上一起发送到服务器以便服务器知道这个用户的身份信息,或者是一个浏览使用记录。那么我们怎么利用php 去给浏览器设置cookie呢
我们先看一下setcookie函数
在这里插入图片描述
这里我们解释一下每个参数的作用。首先name是cookie的名字,这个没什么可以解释的。value是对应的值,也没啥可以解释的。expire是有效期,通常是用规定一个时间戳,到期销毁。path是路径,可以控制对应页面所能访问的cookie,相当于权限,domain规定能访问的域名。secure规定是否只能ssl下传输cookie,保证cookie安全。下面我们动手实现一个cookie的例子:
在这里插入图片描述
这里利用thinkphp5来保存一个testcookie 时间为60s,我们只验证name,value和expire常用的三个参数。
在这里插入图片描述
如图,该cookie 60s后便消失了。

**

【4、Cookie的更安全的策略–Session】

到这里很多人会想,既然网站的cookie 是在本地浏览器的,那我为什么不可以修改这cookie 通过某种方式 访问到本来我无法访问的信息呢! 所以服务器端有引进新的安全策略session。 在php中session的工作逻辑为服务器端保存一个session的映射数组。同时加密一个有规律的字段,将该字段通过cookie的形式保存在本地浏览器,该字段由于是加密的所以不会泄漏任何有效信息。浏览器访问页面会带上cookie,服务器根据保存的cookie字段 读取到映射数组内的值。来加载该客户的信息。在php中 session 是如何设置的呢

在这里插入图片描述
在这里插入图片描述
如上图所示:php在本地保存了一个phpsessid的cookie值。每次请求时,会带上phpsessid,服务器通过该值来读取用户信息。这样的方式比本地直接存储用户信息更加安全,可以防止xss攻击。在keep-alive连接被释放前,都能够读取到对应的session值。是一种短效安全的存储方式。
**

【5、分布式身份认证方式–Json Web Token(jwt)】

先说说应用场景。现在某一个客户登陆到一个某公司旗下的A网站。这时候需要访问公司的B网站,由于之前的A网站已经完成身份认证了。但是session只存储在对应的服务器里面。没有共享,所以该客户还需要重新登陆B网站的身份认证,这样就面临一个新的问题。我们能不能将所有登陆信息以固定加密的形式存储,方便整个应用旗下的所有网站应用,统一识别。
**
JWT一共有三个部分分别为:

head(头):
这部分通常存储的是jwt的元信息。比如加密方式,和认证类型等等

//举个head例子
{
  "alg": "HS256",
  "typ": "JWT"
}

payload(载荷):
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

//下面我列举官方的字段,以及个人字段
{
	//以下为官方字段
	'iss':'签发人',
	'exp':'过期时间',
	'sub':'主题',
	'aud':'受众',
	'nbf':'生效时间',
	'iat':'签发时间',
	'jti':'编号',

	//以下可以写自己的字段
	'auth':'管理员',
	'name':'张三'
	.
	.
	.
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

Signature(签名):
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(
base64UrlEncode(header) + “.” +base64UrlEncode(payload)
,secret
)

下面我们动手实现一个jwt类

<?php
namespace  app\index\controller;

class Jwt
{
    /**
     * @var array jwt头部
     */
    private static $header = [

        //生成signature的算法
        'alg'   =>  'HS256',

        //类型
        'typ'   =>  'JWT'
    ];

    /**
     * @var array jwt 载荷
     */
    private static $payload = [

        //签发人
        'iss'   =>  '',

        //签发时间
        'iat'   =>  '',

        //过期时间
        'exp'   =>  '',

        //改时间之前不处理该token
        'nbf'   =>  '',

        //面向的用户
        'sub'   =>  '',

        //该Token唯一标识
        'jti'   =>  ''
    ];



    /**
     * @var string 摘要密钥
     */
    private static $key = 'abc123';

    /**
     * Jwt constructor.
     * @param string $sub 用户
     * @param int $exp  过期时间(时间戳)
     * @param int $nbf  处理时间(时间戳)
     */
    public function __construct()
    { }

    /**
     * 参数
     *
     * @param string $sub
     * @param integer $exp
     * @param integer $nbf
     * @return void
     */
    public static function setPayload(string $sub, int $exp, int $nbf = null)
    {
        if (!$nbf) {
            $nbf = time();
        }
        self::$payload = [
            'iss'   =>  'program_name',
            'iat'   =>  time(),
            'exp'   =>  $exp,
            'nbf'   =>  $nbf,
            'sub'   =>  $sub,
            'jti'   =>  md5(uniqid('JWT') . time())
        ];
    }
    /**
     * @return string 获取token
     */
    public static function getToken(string $sub, int $exp, int $nbf)
    {
        self::setPayload($sub, $exp, $nbf);
        //base编码头
        $base64header = self::base64UrlEncode(json_encode(self::$header, JSON_UNESCAPED_UNICODE));
        $base64payload = self::base64UrlEncode(json_encode(self::$payload, JSON_UNESCAPED_UNICODE));
        $token = $base64header . '.' . $base64payload . '.' . self::signature($base64header . '.' . $base64payload, self::$key, self::$header['alg']);
        return $token;
    }


    /**
     * @param string $Token 需要验证的token
     * @return bool|string
     */
    public static function verifyToken(string $Token)
    {
        //分割token
        $tokens = explode('.', $Token);
        if (count($tokens) != 3) {
            return false;
        }
        list($base64header, $base64payload, $sign) = $tokens;
        //获取jwt算法
        $base64decodeheader = json_decode(self::base64UrlDecode($base64header), JSON_OBJECT_AS_ARRAY);
        if (empty($base64decodeheader['alg'])) {
            return false;
        }
        //签名验证
        if (self::signature($base64header . '.' . $base64payload, self::$key, $base64decodeheader['alg']) !== $sign) {
            return false;
        }

        $payload = json_decode(self::base64UrlDecode($base64payload), JSON_OBJECT_AS_ARRAY);
        //签发时间大于当前服务器时间验证失败
        if (isset($payload['iat']) && $payload['iat'] > time()) {
            return false;
        }
        //过期时间小宇当前服务器时间验证失败
        if (isset($payload['exp']) && $payload['exp'] < time()) {
            return false;
        }
        //该nbf时间之前不接收处理该Token
        if (isset($payload['nbf']) && $payload['nbf'] > time()) {
            return false;
        }
        return $payload;
    }

    /**
     * base64UrlEncode  https://jwt.io/ 中base64UrlEncode编码实现
     * @param string $input 需要编码的字符串
     * @return string
     */
    private static function base64UrlEncode(string $input)
    {
        return str_replace('=', '', strtr(base64_encode($input), '+/', '-_'));
    }

    /**
     * base64UrlEncode  https://jwt.io/  中base64UrlEncode解码实现
     * @param string $input 需要解码的字符串
     * @return bool|string
     */
    private static function base64UrlDecode(string $input)
    {
        $remainder = strlen($input) % 4;
        if ($remainder) {
            $addlen = 4 - $remainder;
            $input .= str_repeat('=', $addlen);
        }
        return base64_decode(strtr($input, '-_', '+/'));
    }

    /**
     * HMACSHA256签名   https://jwt.io/  中HMACSHA256签名实现
     * @param string $input 为base64UrlEncode(header).".".base64UrlEncode(payload)
     * @param string $key
     * @param string $alg   算法方式
     * @return mixed
     */
    private static function signature(string $input, string $key, string $alg = 'HS256')
    {
        $alg_config = array(
            'HS256' => 'sha256'
        );
        return self::base64UrlEncode(hash_hmac($alg_config[$alg], $input, $key, true));
    }
}

我们如何调用这个jwt类我们现模拟生成一个jwt 验证串,签发名为test,时长为从现在起一小时内有效;

<?php
namespace app\index\controller;
use app\index\controller\Jwt;

class Index
{
    public function index()
    {
        
        $jwt = new Jwt();
        return  $jwt->getToken('test', time() + 3600, \time());
    }
}

模拟客户端验证:

<?php
namespace app\index\controller;

use app\index\controller\Jwt;

class Index
{
    public function index()
    {
        $str = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJwcm9ncmFtX25hbWUiLCJpYXQiOjE1NjA3NDg1ODgsImV4cCI6MTU2MDc1MjE4OCwibmJmIjoxNTYwNzQ4NTg4LCJzdWIiOiJ0ZXN0IiwianRpIjoiMDIwOWY1ZGY4M2Q3MzI0ODc3ZWI4YjBjMDgzNjg5NzkifQ.sP5bmdD1lfwVYglmU7MXf7If4wQQ35FKaTqSrnXA80o';
        $jwt = new Jwt();
        if ($jwt->verifyToken($str)) {
            //如果有效则返回1
            return '1';
        } else {
            //无效则为0;
            return '0';
        }
    }
}

到此 我们完成了 jwt验证的全部过程,具体业务逻辑需要可以根据特定情况设计;

ps:请注意,该字符串签发之后不可取消,只能等待时长到期!

CookieSession、Token、JWT的区别和使用场景
2303_76696898的博客
04-05 780
针对认证问题,负载至少应该包含能够告知服务端“这个用户是谁”的信息,针对授权问题,令牌至少应该包含能够告知服务端“这个用户拥有什么角色/权限”的信息。JWT 的负载部分是可以完全自定义的,根据具体要解决的问题不同,设计自己所需要的信息,只是总容量不能太大,毕竟要受到 HTTP Header 大小的限制。(Header):它描述了令牌的类型(统一为 typ:JWT)以及令牌签名的算法,示例中 HS256 为 HMAC SHA256 算法的缩写,其他各种系统支持的签名。
PHP会话超时错误的解决方法
最新发布
shejizuopin的博客
05-06 1128
php// 初始化会话时间戳(首次访问时)if (!// 每次请求时更新时间戳// 检查超时(示例:1小时无操作)// 1小时// 销毁会话并重定向到登录页exit();?阶段操作建议开发期1. 统一配置参数2. 实现会话活跃度检测3. 添加日志记录测试期1. 模拟高并发压力测试2. 验证分布式环境下的时间同步3. 检查CSRF防护运维期1. 监控会话超时率2. 设置超时告警阈值3. 定期清理过期会话关键结论配置优先:确保和参数值一致。活跃检测。
php 会话机制,php中的会话机制(1)
weixin_34246474的博客
03-26 296
①什么是会话机制:这个太过抽象,也挺复杂的,只能说一下自己的理解。在b/s架构下,会话机制,其实就是服务器(server)和浏览器(browser)之间的对话的一种方式!这种对话方式,能够使得web站点能够对用户的行为进行追踪,在同一个站点下用户所需的数据实现共享!②为什么要使用会话机制归根到底是由于,b/s的访问方式是基于http协议的,而http协议本身又是无状态的,所谓无状态,就是指服务器端...
php 会话机制,php进阶()会话机制
weixin_29028145的博客
03-26 199
1、设置cookie(1)PHP设置Cookie最常用的方法就是使用setcookie函数,setcookie具有7个可选参数,我们常用到的为前5个:name( Cookie)可以通过$_COOKIE['name'] 进行访问value(Cookie的值)expire(过期时间)Unix时间戳格式,默认为0,表示浏览器关闭即失效path(有效路径)如果路径设置为'/',则整个网站都有效doma...
php http keep alive,HTTP 的 Keep-Alive模式
weixin_42153793的博客
03-29 544
一、Keep-Alive模式1、 HTTP协议采用“请求-应答”模式,当使用普通模式,即非KeepAlive模式时,每个请求/应答客户和服务器都要新建一个连接,完成之后立即断开连接(HTTP协议为无连接的协议);当使用Keep-Alive模式(又称持久连接、连接重用)时,Keep-Alive功能使客户端到服务器端的连接持续有效,当出现对服务器的后继请求时,Keep-Alive功能避免了建立或者重...
php 设置keep alive,Apache中Keep-Alive配置建议
weixin_39656206的博客
04-10 435
在 Apache 服务器中,Keep-Alive 是一个布尔值,On 代表打开,Off 代表关闭,这个指令在其他众多的 HTTPD 服务器中都是存在的。Keep-Alive 配置指令决定当处理完用户发起的 HTTP 请求后是否立即关闭 TCP 连接,如果 Keep-Alive 设置为On,那么用户完成一次访问后,不会立即断开连接,如果还有请求,那么会继续在这一次 TCP 连接中完成,而不用重复建立...
PHP会话机制SESSION操作
Jesse技术博客
01-07 700
session会话 1,一种会话技术 2,保存在服务器上的一个文件 3,session是基于session id的查询方式 session原理:用户第一次来访问服务器的时候,把登录信息存储到服务商的一个session文件中,并且产生一个sessionid号,并且会向客户端浏览器发送一个产生cookie文件的请求,将该sessionid好存储到该cookie当中,用户第二次访问的时候
cookiesession的反反爬应用
qq_36137368的博客
02-04 1251
目录cookiesession爬取ssl证书有问题的网站正则表达式 cookie cookie网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息,通过在客户端记录的信息确定用户身份。cookie可以用于反爬,针对这种情况,需要在请求头部中添加cookie,才能在爬取时获得想要的信息。 网站举例:2020年有一段时间要浏览知乎内容,会自动跳转到登陆界面,强制要求登录才能浏览。(目前不再强制要求) 以知乎热榜https://www.
一篇搞定Requests/Fiddler/Session/Cookie,内容讲解详细,欢迎阅读
qq_41405475的博客
03-30 1147
文章目录Requests/Fiddler/Session/Cookie详细讲解Requests库简介抓包工具 fiddler浏览器抓包requests程序抓包手机抓包构建HTTP请求构建请求URL参数构建请求消息头构建请求消息体检查HTTP响应检查响应状态码检查响应消息头检查响应消息体Session机制概念requests处理session-cookie打印完整的HTTP消息Cookie机制什么是cookiecookie机制总结: Requests/Fiddler/Session/Cookie详细讲解 Re
HTTP CookieSession管理机制
在深入探讨HTTP CookieSession管理机制之前,让我们先回顾一些HTTP的基础概念。 ## 1.1 HTTP协议简介 HTTP是一种无状态协议,每次请求之间是相互独立的,服务器不会记住之前的请求。每个HTTP请求由一个请求方法...
通过开启Apache的Keep-Alive属性来支持php对mysql的持久连接
系统运维
10-26 261
php对mysql的持久连接函数为:mysql_pconnect() /etc/httpd/conf/httpd.conf # 需要在Apache的配置文件设置几个参数 # KeepAlive: Whether or not to allow persistent connections (more than one request per connection). Set to "Of...
php 设置keep alive,vue中keep-alive使用步骤详解
weixin_42297591的博客
04-10 344
这次给大家带来vue中keep-alive使用步骤详解,vue中keep-alive使用的注意事项有哪些,下面就是实战案例,一起来看一下。1.keep-alive的作用以及好处在做电商有关的项目中,当我们第一次进入列表页需要请求一下数据,当我从列表页进入详情页,详情页不缓存也需要请求下数据,然后返回列表页,这时候我们使用keep-alive来缓存组件,防止二次渲染,这样会大大的节省性能。2.kee...
php keep alive,HTML_PHP web开发HTTP协议中的KeepAlive,这篇文章已经写完将近一年了 - phpStudy...
weixin_39793576的博客
03-13 232
这篇文章已经写完将近一年了,最近从历史邮件里面翻出来,和大家分享一下。其中使用PHP实现持久的HTTP连接,让我费了很多心思。曾经想过使用C语言编写一个PHP的扩展来实现,后来发现pfsockopen这个函数,让我豁然开朗,避免重新发明一个轮子,呵呵。一,KeepAlive的概念:参见 http://en.wikipedia.org/wiki/HTTP_persistent_connection二...
keep alive PHP,keep-alive缓存功能如何使用
weixin_34582773的博客
04-05 228
这次给大家带来keep-alive缓存功能如何使用,keep-alive缓存功能使用的注意事项有哪些,下面就是实战案例,一起来看一下。Vue 实现组件信息的缓存当我们在开发vue的项目过程中,避免不了在路由切换到其他的component再返回后该组件数据会重新加载,处理这种情况我们就需要用到keep-alive来缓存vue的组件信息,使其不再重新加载。一、在app.vue里但是这种情况会对所有的组...
php 获取keep alive,判断Keep-Alive模式的HTTP请求的结束
weixin_30954817的博客
03-20 280
在使用短连接方式时,每个HTTP请求对应一个TCP连接,请求完成后连接立即断开,服务器返回EOF。所以根据EOF就可判断一次请求的结束,下面的代码(PHP)很常见:// $fp是由fsockopen()产生的句柄while(!feof($fp)) {echo fgets($fp);}(注:短连接模式是在头部用”Connection: close”标示,长连接用”Connection: keep-a...
php http keep alive,详解http_keepalive | moon's blog
weixin_35650074的博客
03-29 189
1.当keepalive_timeout时间为0时,即不启用Keep-Alive时,一个tcp连接的生命周期#tcpdump -n host 218.1.57.236 and port 8020:36:50.792731 IP 218.1.57.236.43052 > 222.73.211.215.http: S 1520902589:1520902589(0) win 6553520:36...
php 谈谈我对session, cookies和jwt的理解
mengzuchao的专栏
06-05 732
最近在做项目重构,因为核心功能仅以restful风格接口提供,因此对于会话管理这一部分,目前考虑使用jwt(Json Web Token)。本文是我在项目开发过程中对这几种会话管理技术理解的一些总结。不对之处,请指正。为什么我们需要会话管理众所周知,HTTP协议是一个无状态的协议,也就是说每个请求都是一个独立的请求,请求与请求之间并无关系。但在实际的应用场景,这种方式并不能满足我们的需求。举个大家...
keep alive PHP,vue中keep-alive使用方法详解
weixin_35793357的博客
04-05 154
这次给大家带来vue中keep-alive使用方法详解,vue中keep-alive使用的注意事项有哪些,下面就是实战案例,一起来看一下。1.keep-alive的作用以及好处在做电商有关的项目中,当我们第一次进入列表页需要请求一下数据,当我从列表页进入详情页,详情页不缓存也需要请求下数据,然后返回列表页,这时候我们使用keep-alive来缓存组件,防止二次渲染,这样会大大的节省性能。2.kee...
php单点登录两种实现方案session模式以及jwt模式
withoutfear的博客
03-27 477
session cookie模式 将session保存到一个公共服务器上,取session时从服务器上取,可以用redis或者mysql等存储,要注意过期时间 php提供的session_set_save_handler函数就可以完成存储 代码实现如下 <?php header('content-type:text/html;charset=utf-8'); //将session存储方式设置为存入数据库的方式 //session.save_handler = files ini_set("se
NodeJS中使用supertokens-node-mysql-ref-jwt库实现安全用户会话
由于提供的文件名称列表只有一个“supertokens-node-mysql-ref-jwt-master”,我们可以推断该压缩包文件可能包含了一个主目录,其中包含了多个子目录和文件,这些内容可能涵盖了整个库的源代码和文档。通常这类文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值