## session  ### 做某事之前要先確保一些東西 [framework/Session.php at master · top-think/framework](https://github.com/top-think/framework/blob/master/library/think/Session.php) 很多方法中使用了： ```php empty(self::$init) && self::boot(); ``` 這是保證操作前session是開啟的： ```php // init()方法代碼段 if ($isDoStart) { session_start(); self::$init = true; } else { self::$init = false; } ``` 既然這樣，很多方法都用到了，重復寫不是很好，我們將它單獨寫到一個方法里面： ```php // 確保進行操作前session是開啟并準備好的 private function _ensure() { empty(self::$init) && self::boot(); } ``` > 這種例子很多地方都有，比如sql操作檢查數據庫連接那里也是一樣，也可以這樣做，保證操作前數據連接是準備好的，可用的。（已經是這樣做的了： `$this->initConnect(true);`） * * * * * ### 不能忽視的問題 ```php /** * 暫停session * @return void */ public static function pause() { // 暫停session session_write_close(); self::$init = false; } ``` 注意 `self::$init = false;` 這個細節很重要，說明 `session_write_close()` 是停止了session的。 session操作必須要對文件進行讀寫鎖，保證此時其他進程不能讀和寫，這是很重要的，因為如果不這樣的話很可能會出現 **“更新丟失”** 的問題。 **所以在使用其他session驅動時也要注意這個問題，`read()` 方法也要保證行鎖，否則就會有問題，但如果和加鎖的話，又會出現多頁面session阻塞的老問題了，傳統文件方式就是因為文件鎖的原因造成的多頁面阻塞。** （最好不要使用MySQL，行鎖需要開啟事務，這可能會引起事務嵌套等一些問題）redis驅動的read()沒有使用行鎖，那么其實也會有更新丟失的問題的。**（其實就算出現更新丟失，數據不同步等問題，也沒事，因為出現的問題就是，session數據變成競態資源了，當沒有鎖時，后果要看《并發問題帶來的后果》，一般重要數據也不會放在session里面，所以就算出問題，也只是驗證碼驗證結果不同步等問題，明明圖片不對，但是顯示驗證結果正確，這是因為點擊切換圖片太快了，導致驗證時取的是舊數據）** > session只在啟動時open數據源（文件或數據庫，打開獨占文件，或者連接數據庫），并讀取read數據，然后寫入`$_SESSION`全局變量中。默認情況下，只讀這一次，每啟動session_start()一次就會讀取一次數據。 另外當你使用 `session_write_close()` 時要確定你之后不會再進行session操作了，一定要在所有的session數據修改保存結束后再調用它，否則之后再直接使用 `$_SESSION['S'] = 1;` 這樣就不會保存數據哦，因為session已經被關閉了，如果使用tp的`session()`函數就不會，原因你也看到了，它做了處理。 [MySql中的事務嵌套 - 小小的博客大大的世界 - 博客園](https://www.cnblogs.com/tongx/p/4936253.html) [PHP中實現MySQL嵌套事務的兩種解決方案 - CSDN博客](http://blog.csdn.net/hello_katty/article/details/45220825) * * * * * [基于 Token 的 WEB 后臺認證機制](https://mp.weixin.qq.com/s/QDr4DaMrH-g78l5oXFfbeg) > tp支持session_id參數指定在url上，但是這種其實還是傳統的 `cookie - session` 模式，如果簡單的將這個cookie叫做token的話，那么沒什么意義，不過是session_id換個名字而已。所以 token ≠`cookie - session` ，token和session是不同的技術方案。 [聊一聊HTTP會話管理](https://www.toutiao.com/a6537805588791820813/?tt_from=weixin&utm_campaign=client_share&timestamp=1522255724&app=news_article_lite&utm_source=weixin&iid=25315997380&utm_medium=toutiao_android&wxshare_count=1) [小白科普：“無狀態”那點事兒](http://mp.weixin.qq.com/s/7KmEOXhefUxv51rR03SarA) [php - 基于 session 和基于 token 的用戶認證方式到底該如何選擇？ - SegmentFault 思否](https://segmentfault.com/q/1010000008691659) [<轉> session、cookie、token詳解 - PHP程序癡-妖都小陳 - 博客園](https://www.cnblogs.com/gzchenjiajun-php/articles/4895394.html) [session fixation攻擊 - CSDN博客](https://blog.csdn.net/wauit/article/details/47402125) [Session,Token相關區別 - 騎著烏龜去看海 - 博客園](https://www.cnblogs.com/xiaozhang2014/p/7750200.html) > Token就不會在服務器上存儲數據了，數據加密、簽名后生成一個唯一的Token。 [3 種 Web 會話管理的方式](http://mp.weixin.qq.com/s/0EqNx5YqmK63om8-FpzPvA) > Token方式，Token是登錄信息加密的字符串（用戶ID，），如果服務端信息變化（用戶名，類似session信息），那么每次Token也會改變啊，而session就沒有這個問題，看來就要撇棄session思維，忘掉session上下文環境，這些信息要另外想辦法，不能放在登錄信息里面，保持登錄信息的干凈，這樣Token就不會變了，既然不使用session了，那么就要徹底放下，不能還保留著那種思想，要是只是換個名字，還是舊思想，換湯不換藥就沒有意義。 > > **session方式也相當于是提供上下文環境，比如驗證碼，比如業務操作執行到哪一步都可以記錄在session中，很方便，如果不用session，那么業務就不能使用這種方式了，可以放在一個表中實現一樣的效果。** > > 安全：session方式其實不存在安全問題，登錄時可以記錄用戶的登錄環境，IP，設備信息等，過期時間，這樣當用戶環境發生改變可以讓其重新驗證。（登錄狀態不能僅是一個狀態，登錄狀態：正常，過期，環境改變，其它）；Token：不能把憑證直接放到url后面進行傳遞，壞人通過Reffer header可以竊取。 [JSON Web Tokens - jwt.io](https://jwt.io/#libraries-io) [php JWT在web端的使用方法 - 個人文章 - SegmentFault 思否](https://segmentfault.com/a/1190000009981879) [前后端分離， JWT 還是 Oauth2? - V2EX](https://www.v2ex.com/amp/t/439613) [你可能并不需要 OAuth2 | mdluo's blog](https://mdluo.com/2018-02-11/you-may-not-need-oauth2/) [基于Token的身份驗證——JWT - ChrisZZ - 博客園](https://www.cnblogs.com/zjutzz/p/5790180.html) [手把手教會你小程序登錄鑒權](http://mp.weixin.qq.com/s/WIM7M5RRWDfZHVq6zwmNSA) [OAuth 2.0是什么？看這篇文章就夠了](https://mp.weixin.qq.com/s/tAZQm-gF3oLHfE_x_U1xVw) [JSON Web Token - 詳解](https://www.toutiao.com/a6494101429945369101) > session時可以儲存一些**用戶上下文數據**，比如業務中，提交過程的哪一步，等等，我們可以在session存儲一些有用的數據，那么現在這個，這些數據難道放在有效載荷種儲存嗎，肯定不行吧，如果放到載荷中，上下文數據是經常變動的，那么每次生成的令牌都不一樣，肯定不行啊，感覺非常不方便！明明session好好的，為什么非要搞個這么麻煩的東西出來，說在無cookie的環境下不友好，簡直是睜眼說瞎話，session_id不也可以放在url或者提交參數中，跟這個不是不就是一樣的！！！ > > 這個主要是判斷用戶的登陸狀態的，可能你還沒有涉及到集群和分布式的東西，沒有太理解了里面的東西，這個東西很多大公司都在使用，必然有它的可取之處 [如何使用JWT向服務器證明你就是你](https://mp.weixin.qq.com/s/BmQ-r7rf5tq3rNahEvSgKg) > JWT載荷里面信息有限，不能像session中那樣保存很多業務數據在服務器上，比如在用戶session存儲當前操作進行到哪一步，驗證碼，業務數據，等等這樣的用戶上下文信息，要知道這類場景是很多的，很多這樣的信息會放在session中，你JWT沒有session了，那怎么處理這些的情況呢？ > > 傳統的基于session網站后臺等等，可以改造嗎，如果可以，怎么解決我上面說的問題？ > > JWT用于用戶認證的情況比較多，在用戶認證中token中可以存儲userId這種不變的數據。像那種實時性比較高或者業務邏輯相關的數據不太適合使用JWT，一來數據一變就需要更新token，二來將業務邏輯相關的數據放在token中也存在安全性問題。 [JSON Web Token 入門教程 - 阮一峰的網絡日志](http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html) > 不加密的JWT相當于是將原來服務端的session信息交給客戶端存儲了，t由服務端生成，用簽名來保證載荷信息不能被篡改，所以是可靠的。但注意在載荷信息是透明的，所以不能存入私密信息，除非對t加密傳輸。 > > 如果載荷每次信息改變了，那么t也會改變，也就是同時有多個t生效為有效驗證了（除非服務器在頒發和驗證時部署額外的邏輯）。jwt是一種認證機制，不再有登錄狀態和在線的概念了，這點是和session最大的區別。 [使用 Cookie 實現公有云會話跟蹤](https://www.ibm.com/developerworks/cn/web/wa-session-tracking-using-cookies/index.html) 多個瀏覽器tab 同時訪問一個網站，服務器如何區分不同 tab？ > 傳統是 一個瀏覽器 對應一個 key，對應一個用戶 > 現在是 一個瀏覽器還是對應一個 key ，但不是對應一個用戶，而是可以對應多個登錄用戶（或者是多個key也可以，文中的實現方式就是這樣的） [HTTP API 認證授權術 | | 酷 殼 - CoolShell](https://coolshell.cn/articles/19395.html) [JWT攻擊手冊：如何入侵你的Token](https://mp.weixin.qq.com/s/BH-gmMpHUkMvBcSBgJWnwA) [單點登錄系統原理與實現，圖文并茂，附源碼](https://mp.weixin.qq.com/s/EH_gGn8X8KbL71INGym6sQ) [淺析 JWT](https://mp.weixin.qq.com/s/wVYMUWsGKTUP_H5hGvoPKQ) [穩了！這才是cookie，session與token的真正區別](https://mp.weixin.qq.com/s/X0F1xE7MwKM-TIXZs4GWcw) [Web 安全之 XSS](https://mp.weixin.qq.com/s/V9HXB8FOxBed0qqJfFSJjQ) [開發工具箱 - JWT 在線解密](https://www.box3.cn/tools/jwt.html) > JWT 中的數據是明文的，它只是保證數據不會被篡改（尾段為前兩段的簽名），所以JWT 最主要的作用就是云端無存儲的驗證方案。核心理念是無存儲驗證。 * * * * * ### 單點登錄 [php - session多端登陸，共享怎么做的啊？ - SegmentFault 思否](https://segmentfault.com/q/1010000005788476) [單點登錄原理與簡單實現](http://mp.weixin.qq.com/s/FDI35yvHFhpET-xU0kHEHw) 同主域的多系統，其實不需要單點登錄，直接cookie設置為一級域名就可以了，這樣各個二級域下都有效果。當多個系統的主域名不同時才需要使用單點登錄，比如百度和hao123和糯米。 [單點登錄原理與簡單實現](https://mp.weixin.qq.com/s/89YtsPX4cPLluWbM8JSNXQ) [微軟首席信息安全官：我們為什么不需要密碼](https://mp.weixin.qq.com/s/lasTD9j6S1TuXCB8X3w90g) [JSON WEB TOKEN從原理到實戰](https://mp.weixin.qq.com/s/wMi-VSlGTWCZQqRc521GqA) [掃碼登錄實現原理](https://mp.weixin.qq.com/s?__biz=Mzg3NTExMTg2Mw==&mid=2247484666&amp;idx=1&amp;sn=996db3b1a9c0fc7ca23fbad09483fd18&source=41#wechat_redirect) [微信多點登錄，消息漫游，假如讓你來實現？](https://mp.weixin.qq.com/s/gHnq-VqRSBX-UiGd306NDw) [對 Session 的深入探討](https://mp.weixin.qq.com/s/Koto-w9U9mt8H1zZW2ETZQ) 沒有seseion時用 上下文表，uid，上下文json [看完這篇 Session、Cookie、Token，和面試官扯皮就沒問題了](https://mp.weixin.qq.com/s/-Zlviajdw_I1xzbhznflKw) [究竟如何保證session一致性？](https://mp.weixin.qq.com/s/hCrcboJ6CHe8qlg-fv4T0A) > session相當于緩存，傳統文件session要阻塞就是防止多請求并發問題，所以會話過程鎖文件，如果用別的就會有更新丟失臟數據等不一致問題，所以記住sessiin只是緩存，如果要保證數據一致性就不應該依靠session了，只要記住它只是一般的緩存就行了。 [tuupola/branca-php](https://github.com/tuupola/branca-php) 比jwt更安全 [單點登錄那些事兒（三）不同域下的單點登錄 - 開發者交流中心 / 認證協議交流 - Authing 論壇](https://forum.authing.cn/t/topic/120) * * * * * ### session注意的問題 如果在登錄環境中是無法順利做上面的實驗的哦，因為在同一瀏覽器上面登錄時，session多頁面文件阻塞問題。參考：[PHP中Session引起的腳本阻塞問題解決辦法](http://www.jb51.net/article/48805.htm) thinkphp中想要提升性能在使用完session后需要及時的執行： ```php // 及時暫停session，釋放session文件，可以避免發生多頁面session阻塞問題 // 不這樣做的話，對于用戶來說，統一發起的多個請求，如果其中一個請求相應慢也會影響其他請求 // 最好不使用文件儲存session，使用其他無鎖的緩存，不過沒有鎖的話，還有面對兩次會話可能出現的數據不一致和并發修改數據的問題 Session::pause(); ``` 這樣多頁面訪問時就會感覺到顯著的速度提升。 ***** last update：2018-11-6 04:44:17