Session是在服务器端保持会话数据的一种方法(通常用于pc端网站保持登录状态,手机端通常会使用token方式实现),存储在服务端。
Cookie是在客户端保持用户数据,存储位置是客户端(浏览器或者手机端)。
1、当代码session_start(); 运行的时候,就在服务器上产生了一个session文件,随之也产生了与之唯一对应的一个session_id。
2、定义的Session变量以一定形式存储在刚才产生的session文件中。客户端将session_id传递给服务端,服务端根据session_id找到对应的文件,读取的时候,对文件内容进行反序列化就能得到session的值,保存的时候先序列化再写入。由此通过session_id可以取出之前定义的变量。
3、也就是说,Session_id是取得存储在服务器端Session变量的身份证。
注:PHP中的Session在默认的情况下,是使用客户端的Cookie来保存session_id的(session_start();之后,会自动将session_id存储在cookie中),但是必须注意,Session不一定必须依赖Cookie,这也就是Session相比于Cookie的高明之处。当客户端的Cookie被禁用或出现问题时,PHP会自动把session_id附着在URL中,这样再通过session_id就能实现跨页使用session变量了。但是这种附着也是有一定条件的,即php.ini文件中的“session.use_trans_sid=1”或者编译时打开了--enable-trans-sid选项。
(1)php文件
c.php
";
var_dump($_COOKIE);
echo "
";
$url = "下一页";
echo $url;
?>
b.php
";
var_dump($_COOKIE);
die;
?>
(2)此时,运行c.php代码在浏览器会得到类似下面结果:
(3)此时点击“下一页”,跳转到b.php
注:禁用cookie位置:chrome://settings/content
得到的结果:
也就是说,在不更改php.ini配置文件的前提下,禁用掉cookie之后,默认session是无法跨页传输的
(1)关闭php.ini配置文件中 session.use_only_cookies,打开php.ini配置文件中session.use_trans_sid,如下:
session.use_trans_sid = 1
session.use_only_cookies = 0
(2)重新运次c.php
点击下一页进入b.php
可以看到,在浏览器禁用cookie之后,session仍然是可以继续传输的,只不过需要进行配置而已。
但事实上,并不太建议,也不需要这么做。毕竟是存在安全风险的。而且目前浏览器基本也不会主动禁用cookie。
建议:可以更改php.ini的 session.save_handler 参数为redis或memcache等内存缓存数据库。
我们前端可能有很多台服务器,用户在A服务器上登录了,种下了session信息,然后访问网站的某些页面没准跳到B服务器上去了,如果这个时候B服务器上没有session信息又没有做特殊处理,可能就会出问题了。
解决方案:
(1)更改php.ini的 session.save_handler 参数为redis或memcache等内存缓存数据库
(2)还有一种方式是通过加密的cookie来实现,用户在A服务器上登录成功,在用户的浏览器上种上一个加密的cookie,当用户访问B服务器时,检查有无 session,如果有当然没问题,如果没有,就去检验cookie是否有效,cookie有效的话就在B服务器上重建session。这种方法其实很有 用,如果网站有很多个子频道,服务器也不在一个机房,session没办法同步又想做统一登录那就太有用了。
(3)当然还有一种方法就是在负载均衡那一层保持会话,把访问者绑定在某个服务器上,他的所有访问都在那个服务器上就不需要session同步了(比如负载均衡中的ip_hash)。