標籤:tps 校正 exp _id username time 通過 https 客戶
連結:https://www.zhihu.com/question/20182967/answer/76631201
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。
COOKIE由於儲存在用戶端,有被隨意篡改的風險,所以其實伺服器判斷使用者登陸狀態,一般都是用SESSION的...SESSION的資料存放區在伺服器中,但是必須通過用戶端的COOKIE來找到對應的SESSION
所以使用者登入的過程實際上是
1:使用者輸入使用者名稱密碼,POST資料到伺服器
2:伺服器判斷使用者名稱密碼是否正確,若正確,則在用戶端建立一個儲存SESSION_ID的COOKIE,並且在伺服器中建立一個相對應的SESSION_ID的SESSION,SESSION裡面的資料可能為使用者的資料
3:以後該使用者進行操作時,先從用戶端取出SESSION_ID,找到伺服器相對應的SESSION,取出資料,進行校正後再進行下一步操作..
然後說說我理解的保持登陸狀態
由於COOKIE儲存在用戶端,所以不建議用isset($_COOKIE[‘username‘])來判斷使用者是否登陸.
因為使用者完全可以偽造一個COOKIE,來達到欺騙伺服器的目的...
那麼,我想到的兩種方法是:
1:上面有人說了,儲存username和加密的密碼,再次訪問時,伺服器取出COOKIE資料,與資料庫做校對,如果通過,則判斷為已經登陸
2:建立一個MySQL表,裡面存cookie_id,username,expire,time,然後每次登陸時,根據使用者選擇儲存登陸時間,來產生一個md5加密的cookie_id(可以用username,時間戳記和隨機數產生),然後將cookie_id,username,使用者保持的登陸時間,目前時間戳一起插入資料庫中,並且建立一個名為cookieid,值為上述md5加密的cookie_id的COOKIE.
那麼下一次使用者訪問時,伺服器可以先取COOKIE,根據COOKIE裡的cookieid找到相對應的資料庫中的資料,判斷有無合法COOKIE,有無生命週期等...如果全部通過就能判定為登陸了
網頁免登陸實現
