前言
本文主要給大家介紹了關于Laravel中Sessionid處理機制的相關內容,分享出來供大家參考學習,下面話不多說了,來一起看看詳細的介紹吧。
在 Laravel 的配置文件 config/session.php 中可以設置 Session Cookie Name,比如這個項目中設置名稱為“sns_session”:
/* |-------------------------------------------------------------------------- | Session Cookie Name |-------------------------------------------------------------------------- | | Here you may change the name of the cookie used to identify a session | instance by ID. The name specified here will get used every time a | new session cookie is created by the framework for every driver. | */ 'cookie' => 'sns_session',
我們可以看到刷新頁面,查看 cookie,會發現一個名稱為 sns_session 的 cookie,名字就是我們自定義的。
這個 sessionid 就是 cookie 和 session 聯系的橋梁,服務器通過這個 sessionid 判斷來自哪個客戶端的請求。
Laravel 的 sessionid 每次刷新發生變化
但是,每次刷新頁面,這個 cookie 值都會發生改變!那么這樣服務器如何保持會話呢?因為你的 sessionid 總是在變。
Laravel 對 cookie 進行加密
我們在 vendor/laravel/framework/src/Illuminate/Session/Store.php 的 save 方法中調試一下,打印一下這里的調用棧:
/**
* {@inheritdoc}
*/
public function save()
{
$this->addBagDataToSession();
$this->ageFlashData();
$this->handler->write($this->getId(), $this->prepareForStorage(serialize($this->attributes)));
$this->started = false;
dd(debug_backtrace(DEBUG_BACKTRACE_PROVIDE_OBJECT,5));
}
每次刷新頁面,這個 Store 對象的 id 屬性其實是沒有變化的,這個屬性就是 sessionid 這個 cookie 的值。也就是說,sessionid 的值并不是每次發生變化,而是寫 cookie 的時候,值發生了變化。
在 vendor/laravel/framework/src/Illuminate/Cookie/Middleware/EncryptCookies.php 中的 encrypt 方法找到了原因,這個中間件對所有 cookie 值進行了加密處理,它被包含在 web 中間件。
protected function encrypt(Response $response)
{
foreach ($response->headers->getCookies() as $cookie) {
if ($this->isDisabled($cookie->getName())) {
continue;
}
$response->headers->setCookie($this->duplicate(
$cookie, $this->encrypter->encrypt($cookie->getValue())
));
}
return $response;
}
而這種加密方式是每次加密的結果都不同,所以表現為 sessionid 的值每次都發生了變化,而實際上并沒有改變。在需要用到這個 cookie 的時候會被解密回去。
Laravel 框架這樣設計的目的可能是為了防止 session 劫持吧!考慮還是比較全面的!
其他補充知識
原生 PHP 設置 session 名稱
session_name() 函數:
<?php
/* 設置會話名稱為 WebsiteID */
$previous_name = session_name("WebsiteID");
echo "The previous session name was $previous_name<br />";
?>
session_name() 函數返回當前會話名稱。 如果指定 name 參數, session_name() 函數會更新會話名稱, 并返回 原來的 會話名稱。
請求開始的時候,會話名稱會被重置并且存儲到 session.name 配置項。 因此,要想設置會話名稱,那么對于每個請求,都需要在 調用 session_start() 或者 session_register() 函數 之前調用 session_name() 函數。
COOKIE和SESSION的區別和關系
- COOKIE保存在客戶端,而SESSION則保存在服務器端
- 從安全性來講,SESSION的安全性更高
- 從保存內容的類型的角度來講,COOKIE只保存字符串(及能夠自動轉換成字符串)
- 從保存內容的大小來看,COOKIE保存的內容是有限的,比較小,而SESSION基本上沒有這個限制
- 從性能的角度來講,用SESSION的話,對服務器的壓力會更大一些
- SEEION依賴于COOKIE,但如果禁用COOKIE,也可以通過url傳遞
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對的支持。