什么是cookie和会话,它们之间如何关联?


86

我正在尝试专业地了解Cookie和会话。我知道,当浏览器连接到服务器时,服务器会“询问”浏览器,以在客户端浏览器cookie文件夹中“粘贴”具有“ phpsessid”的cookie。

现在我们有了“ phpsessid”,如果客户端进入服务器,浏览器将向服务器发送“ phpsessid”,服务器将查看tmp文件夹,如果有匹配项,它将加载用户具有的所有数据这个客户,但我对此过程有些困惑。

如果有人可以帮助我理解创建会话和Cookie的过程,我将不胜感激-幕后发生的事情。


看来您已经知道发生了什么事。您想了解哪一部分?HTTP / cookie部分,或者PHP如何加载会话存储?
mario 2012年

浏览器使用phpsessid保存的cookie,这是phpsessid来标识用于创建会话和cookie的客户端吗?
Blanktext

浏览器具有的cookie包含php会话ID,它告诉服务器“嘿,我知道这一章”,然后服务器获取会话数据(例如,从/ tmp /)并恢复用户$ _SESSION
somedev

是的,我知道,但是我想问的是,此“ phpsessid”是否在创建会话和cookie之前用于标识客户端,此phpsessid是否包含在cookie数据和客户端计算机中以及服务器tmp文件夹中的会话文件中? ?
Blanktext

Answers:


171

让我们来看一下:

Cookie会话都是在浏览器发出的不同请求之间保留应用程序状态的两种方式。多亏了他们,例如,您不需要每次在StackOverflow上请求页面时都登录。

饼干

Cookies是数据的一小部分(最长4KB),它们以键=值对的形式保存数据:

name=value; name2=value2

这些是由 JavaScript通过服务器使用HTTP标头设置

Cookies设置了到期时间,例如使用HTTP标头:

Set-Cookie: name2=value2; Expires=Wed, 19 Jun 2021 10:18:14 GMT

这会导致浏览器设置了一个名为cookie的name2使用的价值value2,这将在到期大约9年。

Cookies被认为是高度不安全的因为用户可以轻松地操纵其内容。这就是为什么您应该始终验证cookie数据的原因。不要假设您从Cookie中获得的东西一定是您所期望的。

Cookies通常用于保留登录状态,从浏览器发送用户名和特殊哈希,然后服务器根据数据库检查它们以批准访问。

会话中也经常使用Cookie创建中。

届会

会话略有不同。每个用户都有一个会话ID,该会话ID将通过CookieGET变量发送回服务器以进行验证

会话通常是短暂的,这使其成为保存应用程序之间的临时状态的理想选择。一旦用户关闭浏览器,会话也会过期。

会话比cookie更安全,因为变量本身保存在服务器上。运作方式如下:

  1. 服务器打开一个会话(通过HTTP标头设置cookie)
  2. 服务器设置会话变量。
  3. 客户变更页面
  4. 客户端发送所有cookie,以及步骤1中的会话ID。
  5. 服务器从cookie读取会话ID。
  6. 服务器从数据库(或内存等)列表中匹配会话ID。
  7. 服务器找到一个匹配项,读取$_SESSION超全局变量中现在可用的变量。

如果PHP找不到匹配项,它将启动一个新会话,并重复1-7的步骤。

您可以将敏感信息存储在会话中,因为它保存在服务器上,但是请注意,如果用户(例如,用户)通过不安全的WiFi登录,则会话ID仍会被盗。(攻击者可以嗅探cookie,并将其设置为自己的cookie,他不会看到变量本身,但是服务器会将攻击者标识为用户)。


这就是要旨。您可以在这两个主题的PHP手册上了解更多信息。


1
那么,这是否意味着必须打开Cookie才能使会话正常工作?
bigpotato

1
@埃德蒙:在大多数情况下,是的。但是,您可以进行设置,以使会话ID通过GET变量进行传输(这意味着session_id需要附加到每个页面(hello.php?sid=cbe709ac7bed98f7ecb89713
Madara的Ghost

在Android或iPhone设备上关闭浏览器到底意味着什么?停止应用程式?关闭设备?关闭所有标签并退出?等
Vandervals 2015年

2
@SurajJain如果不是为了“记住我”的cookie,它将持续更长的时间。
马达拉的幽灵

4
另一个问题:用户关闭浏览器后,如何通过此事件通知服务器,以便服务器删除此会话ID?还是会在一段时间后自动过期?
user2774480
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.