三、理解session和cookie

服务器为何需要知道谁在请求

http请求是无状态的，客户端浏览器发送请求到服务端，服务端处理请求并返回就结束了，当该客户端再次请求服务端，是无法知道是否为同一个用户在访问。例如用户在购物网站选择商品加入购物车，下单结算。用户再次访问该网站，是需要获得自己购物车数据，订单中商品数据的。

何为一次会话

我们使用浏览器访问一个网站，不管我们在该网站点击了多少链接，进入过多少页面，直到我们关闭浏览器称之为一次会话。

如何识别是否是同一个用户发送的多次请求

用户使用浏览器第一次请求服务端，服务端如果能产生一个唯一id，并将这个id发送给客户端浏览器，以后用户再在该网站访问其他页面时将这个id携带上一并发送给服务器，服务器不就知道这些请求来自同一个id，即同一个用户。我们提供登录页面，用户输入账户名、密码登录，我们将这个id对应到这个账户名上存储在服务器文件里，用户再发送请求过来时携带上这个id，服务器拿到这个id从文件中寻找，找到对应的用户名，就可以知道这次请求是这个账户了。

session和cookie如何配合维持状态【实现登录】

session就是服务端产生的这个唯一id，并存储在服务端文件中，cookie则保存着这个id，浏览器每次访问服务器都会携带上这个id，cookie存储在本地电脑上。

当我们使用浏览器第一次访问一个网站，服务器发现没有id就会产生一个唯一session id，并存储在服务器上，同时会发出写cookie的指令，用户浏览器接收到写cookie指令就会在用户电脑的临时目录生成cookie文件，并包含键名为PHPSESSID，值为这个id。以后访问该网站，浏览器会自动携带该cookie。

【cookie有有效期，不设置则为会话级别，即关闭浏览器这个cookie就失效了】cookie存储在用户本地电脑，所以安全性很差，不能将敏感信息存入其中，例如密码。

session的过期时间一般为每次访问则延长为当前时间30分钟后的时间。所以用户长时间不操作就会过期，要求重新登录，此时服务端seesion id也会刷新，并发出写cookie指令要求浏览器更改id值。

不同网站要求浏览器写cookie，浏览器访问某网站，只会携带该网站的cookie。cookie有域的概念，如果没有域，浏览器可以携带登录银行网站的cookie到我的网站，我是否可以拿这个cookie访问这个银行网站，结果是登录状态，可以转钱了。

cookie在相同内核的浏览器之间是共享的，不同内核浏览器是不共享的例如火狐和IE【存放位置都不同，当然不共享】

session过期特别说明：

session的过期是发呆时间，假如设置10分钟过期，当9分钟的时候你操作了这个页面则会重新计时。

session配置：

session 可以通过php.ini配置，来修改session存储的位置，默认会以文件形式存储在服务器上,设置成user就可以自定义处理器来存取session数据。企业中一般会存储在redis和数据库中，应对高并发和负载均衡多台服务器间session共享。

vi /usr/local/etc/php/7.2/php.ini 
session.save_handler = files

禁用cookie，还可以登录吗？

服务器端产生的session id，如果cookie被禁用，服务器发送的写cookie指令就无法将session id 写入到客户端电脑cookie中，访问该网站就无法携带cookie过去，也就无法拿到session id。关键问题是cookie不能作为中介携带session id 给服务器，可以换一个，例如浏览器在访问该网站其他页面时，在其url后面自动携带上PHPSESSID=xxxxxxxxxxxxx的参数就可以，服务器获得该参数也一样可以识别是哪个客户端在访问。如何设置url上进行携带，只要在服务器端进行配置。

禁用cookie可以登录，如果不使用session还能登录吗？

实际我们不使用cookie和session依然可以做到维持状态，即登录。只要客户端传入用户名、密码，服务端完成验证，通过之后，即产生一个令牌（唯一随机数），存储令牌对应用户在数据库【mysql或者redis等】并返回给客户端（浏览器或者app等），以后再访问服务器获取数据时，携带上这个令牌，服务器拿到令牌就可以知道对应的哪个用户，然后返回该用户的数据。如果令牌一直不过期，浏览器或者手机app拿到的令牌也一直保留，就永远是登录状态。实际企业项目，这个令牌是有过期时间的，比如一种策略是每访问一下，延长令牌时间，半个月未访问则过期，而且请求数据会进行加密。

浏览器7天自动登录如何实现

现象：

当我们登录一些网站，直接关闭浏览器而非点击退出，再次打开该浏览器则还是登录状态

原因：

点击退出称为安全退出，其实就是点击退出，服务器程序则销毁了我们存储在服务端的session内容和id，直接关闭则没有删除服务器端session，而cookie的过期时间设置一般会比较长，关闭浏览器，访问该网站的cookie还在我们本地电脑上存储着，所以当打开浏览器再次访问该网站的时候就会携带上该网站的cookie，服务器端还存在session id，能够匹配到账户，所以还是登录状态。如果将cookie设置成会话级别，关闭浏览器cookie就过期消失了，打开浏览器再次访问该网站已无该网站cookie携带了，也就不会是登录状态。所以要实现7天自动登录，本地电脑上的cookie7天后才能过期，服务端的session id如果也7天后过期就可以实现7天自动登录，确实session id可以存到数据库等地方。项目中我们会生成一个令牌对应这个登录账户并保存在数据库中，将令牌通过写cookie的方式保存在用户本地电脑上，用户再次访问时携带这个令牌，服务器通过令牌查找对应账户，从而获取该账户信息。
例如还有一种实现逻辑，服务器验证用户名密码通过后，会产生令牌，将令牌和对应用户信息进行加密生成密文，通过写cookie指令将明文令牌和密文返回给浏览器，保存在本地电脑7天。用户以后再访问该网站时，浏览器会携带cookie（明文令牌和密文）给服务器，服务器通过解密获取密文中的用户信息和令牌，比对密文中的令牌和明文令牌完成验证，验证通过则根据密文中用户信息生成当前用户访问session，这样服务不需要存储令牌对应用户信息，完成了自动登录。如果我能拿到张三自动登录网站的cookie，就可以实现登录。所以用户勾选自动登录选项时最好使用自己的私人电脑，不要在公共电脑使用该功能。