您的位置:晶晶的博客>PHP>php中的cookie与session以及session与cookie的安全讨论

php中的cookie与session以及session与cookie的安全讨论

Cookie是什么?从web编程角度来说,就是一个通过http协议响应头发送的key=value类型的小文本,Cookie一般由服务器端脚本产生,通过http协议头发送至用户浏览器端,不同品牌的浏览器在接受到这些Cookie后会在硬盘中生产一个小文本记录该Cookie的相关信息,在该Cookie设定的过期时间未到之前用户下次访问该网站时,浏览器会通过http请求头信息将该Cookie发送给服务器端,服务端在接收到这些Cookie后通过一定的安全策略即可判定该用户的各种状态。

cookie发送与接收示意图

Cookie一般用于各大网站的登录鉴权与用户状态标记;当然也能被用于追踪用户、获取用户的一些隐私信息,最常见的一个就是搜索引擎(诸如:百度、谷歌、搜狗)用户记录用户的搜索历史、搜索喜好,因为客户端存在cookie记录这些核心信息,用户在访问某些网站时会显示与这些搜索丽爽、搜索喜好有关的广告,从而可以达到精准广告投送。

Cookie是有作用域、有效时间、作用协议以及限定客户端javascript是否能对保存在客户端的cookie进行操作的,这块网络上有许多了,就不再讨论了。

session与cookie又有区别,传统意义上的session是不会被存放在客户端浏览器中的,而是存放于服务器端的,php中的session在服务器上默认是以文本形式存储的,存储的内容也是key=value形式,只是类型更为广泛。那么在多个用户同时访问的情况下,势必要对session区分不同的用户,这样php中就有了session_id,这个全局唯一性的ID就用来标识不同的用户,session_id就好比一把钥匙,不同的用户使用属于自己的钥匙才能获取属于这个用户的session值,这就需要php启用session时为每个客户端分配一个全局唯一的session_id,而客户端在每次请求服务器端数据时都要附带上该session_id,否则服务器端就傻傻分不清保存在服务器端的session是属于谁了......php在使用session时默认用一个特定的cookie与浏览器进行session_id值的交互,php内部会对这个特定的cookie进行处理,从而为不同的用户读取保存在服务器端的session值。

由此可以看出,Cookie的键值对用户来说是公开的,而session的键值用户就是看不到的;那么cookie里保存的内容就要进行加密存储了.....从这个角度来说session的安全性比cookie高,但这不意味着用session进行用户鉴权就一定安全,因为上述提到php中启用session的时也会有一个标志session全局唯一性的ID被作为特定cookie发送给了浏览器。

====

拿多用户登录鉴权应用场景来分析cookie与session:

1、用cookie进行用户鉴权,那么当同时有多个用户处于登录状态下时,服务器发送的cookie名称是固定的,服务器端傻傻分不清就要依靠cookie中的值来判定是哪个用户了。

2、用session进行用户鉴权,因为在服务器端php自动为每个用户分配一个唯一的ID用以标志该用户,故而php中多个用户同时登录时,用$_SESSION变量获取session值时就可以自动依据这个唯一ID进行区别;这样的话,那么服务器端是如何区别不同的ID是哪个用户的呢?这样来看,不同的浏览器客户端就要在每次请求时附带上该唯一的ID了,否则服务器端依然傻傻分不清保存的这么多session值到底属于谁。

====

以上两个场景中,第一个因为cookie对用户是透明的,用户可以看到cookie内容,故而采用第一种时发送的cookie内容就有讲究了,不要明文这是必须的,还得依据业务逻辑对cookie进行加密处理与鉴定。

而第二个场景中,因为session_id通过cookie发送给了浏览器端,而这个包含session_id值的cookie对用户来说也是透明的,同时cookie也是有作用域、作用时间、安全性限定的,网络中有许多关于http、https协议下以及不同子域下session共享的解决方案,要么将包含session_id值的这个cookie设定作用域为全域作用,比如设置成'.jjonline.cn',那么这个cookie在同一个端口下的'.jjonline.cn'下的所有子域下[均处于一台服务器的情况下]都被发送,服务器自然就依靠这个ID值获取到了相关session值了,自然达到了session共享的目的;而跨协议的session共享,有些是url传递session_id值,有些则是设置了cookie可以作用于https、http协议下。因为php内部会对该包含了session_id值的cookie进行识别,以上session共享方案说白了就是一个cookie作用域、作用目录、作用协议以及安全性设置的问题。

转载请注明本文标题和链接:《php中的cookie与session以及session与cookie的安全讨论

相关推荐

网友评论抢沙发

路人甲 表情
Ctrl+Enter快速提交