摘要:例如要想在多個二級域名中共享���,需要設置為頂級域名��,這樣就可以在所有二級域名里面或者到這個的值了����。頂級域名只能獲取到設置為頂級域名的,設置為其他子級域名的無法獲取�。
Cookie和Session詳解
Cookie
Cookie只存儲在客服端
Cookie是什么:Cookies是web服務器存放在用戶硬盤的一段文本,Cookies允許一個wen站點在用戶的機器存放一些文本的信息���,并可以在以后重新獲取它��。這個基于文本的信息存儲著一些“鍵-值”對��。
Cookie在http瀏覽器里面的使用過程
1.當瀏覽器發(fā)送請求時��,它會查看你機器上跟域名www.test.com有關(guān)的Cookie文件���,如果存在同www.test.com有關(guān)的 Cookie,瀏覽器就會把相關(guān)的Cookie“鍵-值”對數(shù)據(jù)跟請求一起發(fā)送到服務器()�����,如果不存在同www.test.com有關(guān)的 Cookie�,則瀏覽器不發(fā)送Cookie到服務器���。
http協(xié)議中,在Request Headers里面通過Cookie:PHPSESSIS=123456發(fā)送
2.服務器如果返回Cookie,瀏覽器會把Cookie存儲在域名www.test.com有關(guān)的Cookie文件中,提供給下次請求調(diào)用
http協(xié)議中,在Response Headers里面通過Set-Cookie:PHPSESSIS=123456(名字��,值����,過期時間,路徑和域)返回
3.當然,不是全部Cookie都會存儲起來,Set-Cookie設置的過期時間
持久性cookie��,設置了cookie的時間����,以文件方式存在硬盤上
會話cookie,沒有設置cookie時間�����,cookie的生命周期也就是關(guān)閉瀏覽器前就消失��,一般不會保存在硬盤�����,而是保存在內(nèi)存上
4.所以單純使用Cookie不安全
Cookie其實就是鍵值對存儲在文件中,如果一些用戶名都存儲在里面,只需簡單修改文件里面的用戶名,就可以達到模仿他人登錄,所以相對不安全,當然可以通過其他手段避免,例如加密加鹽
Session
Session存儲在服務端(中介是Cookie或者直接url,使用url傳遞session_id不詳說,這種使用場景比較少)
簡單來說����,一個請求到達的時候,服務器會先判斷是否帶有Session信息����。如果有,則根據(jù)Session ID去數(shù)據(jù)庫中查找是否具有對應的用戶身份信息。此處可能會出現(xiàn)Session失效����、非法的Session信息等可能性,那么服務器視同無Ssession信息的情況����,重新的產(chǎn)生一個隨機的字符串,并且在Http返回頭中寫入新的Session ID信息��。另一者���,如果服務器成功獲取了用戶的身份信息則以該身份為請求者提供服務����。在http中,客服端的請求里面的session id一般是通過cookie帶過來的,所以Session也依賴于cookie����。
以php里面Session舉例,session_start()開啟
首先會去獲取客戶端cookie里的session_id,如果不存在,會重新創(chuàng)建一個
根據(jù)session_id,取到所有相關(guān)的信息,放入$_SESSION全局變量里以供使用
如果寫session,也是根據(jù)session_id寫入相關(guān)文件,并放入$_SESSION全局變量里以供使用
設置登錄態(tài)的過期時間,需要設置session的過期時間以及cookie的過期時間才可以真正生效(ini_set修改)
session.cookie_lifetime
這個代表SessionID在客戶端Cookie儲存的時間,默認是0�����,代表瀏覽器一關(guān)閉SessionID就作廢
session.gc_maxlifetime
這個是Session數(shù)據(jù)在服務器端儲存的時間��,如果超過這個時間�����,那么Session數(shù)據(jù)就自動刪除
Cookie 和 session 傳輸?shù)膮^(qū)別
Cookie主域名和子域名之間的共享
總結(jié)一下頂級域名和子級域名之間的cookie共享和相互修改�����、刪除
頂級域名只能設置domain為頂級域名��,不能設置為二級域名或者三級域名等等��,否則cookie無法生成
二級域名可以設置domain為二級域名或者頂級域名
總的來說����,設置cookie的話只能在本域名下或者domain級別高于自身的域名下才會生效!
二級域名能讀取設置了domain為頂級域名或者自身的cookie�����,不能讀取其他二級域名domain的cookie�����。例如:要想cookie在多個二級域名中共享����,需要設置domain為頂級域名��,這樣就可以在所有二級域名里面或者到這個cookie的值了��。
頂級域名只能獲取到domain設置為頂級域名的cookie�,domain設置為其他子級域名的無法獲取����。
多系統(tǒng)共用登錄態(tài)的方法一(cookie共享)
在頂級域名下開啟session
使用同一個session_id
必須是二級域名,不同域名不適合使用
多系統(tǒng)共用登錄態(tài)的方法一(SSO,限制沒這么多)
SSO單點登錄/登出
瀏覽器訪問單點登錄的網(wǎng)站,如果session存在就返回數(shù)據(jù)�,如果不存在就跳轉(zhuǎn)到cas server(一個多帶帶域名的服務)
如果有已經(jīng)登錄過,通過檢測cookie�,cas server就會302跳轉(zhuǎn)通過url返回Ticket(Ticket是隨機且唯一)到網(wǎng)站,如果沒有登錄過�,就跳轉(zhuǎn)到cas server登錄頁面進行登錄,登錄成功設置cookie��,然后302跳轉(zhuǎn)返回Ticket到網(wǎng)站��,同時cas server會存儲改Ticket���、cookie和網(wǎng)站host的對應關(guān)系����。
網(wǎng)站接收到Ticket后通過cas server提供的校驗url去校驗Ticket��,cas server確認后返回成功���,網(wǎng)站寫入當前域名的sessionid
當用戶再訪問網(wǎng)站的時候�,就會判斷當前session是否登錄
兩種登陸方式圖
更多內(nèi)容請關(guān)注微信公眾“p12310086”�,一個程序員和hr一起運營的公眾號!
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/28281.html
