极客观点
项目管理
HarmonyOS
考虑到安全的问题,session(php编程)中应该存储哪些用户信息呢?
默认情况下SESSION保存在服务器的硬盘中,没有特别的存储长度限制,理论上可以存储任何数据,但并不建议任何数据都保存在SESSION中,原因不说了(考虑一下用户数及其庞大的情况下,每访问一个php文件,就要读取SEESION,特别是SEESION写入内存的情况下。),当然也可以写入memcache,甚至单独的SESSION服务器。
SESSION通常用来保存与用户信息相关的: 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)
我通常把通用的、频繁存取的、小数据量的跟用户相关的数据放入SEESION,视场景而定,我手头的一个项目,是把模块的信息(属性、菜单、结合权限生成栏目列表)写入SEESION的。
基于REST考虑,应该放弃采用session,仅保留cookie中的sessionid用于用户识别。 其实上面说的把session放到redis、memcache等做法就是。 把session数据和其他业务数据同等对待。
--补充--
session的最大弊端在于集群环境中的session复制,这导致了对Share-Nothing Architecture的违反,严重拖累性能、可伸缩性。
session只是很小程度上简化了开发,同时也导致了开发人员的懒惰/放弃思考。
放弃session概念,把会话当作其他业务数据对待,根据业务场景设计正确的缓存策略、失效策略、集群存储等。
- 用 SESSION 的目的是缓存一些用户会话阶段的各种数据,比如头像、用户名、真实姓名、积分等等,所有这些数据都应该是只读操作,在有写操作时以数据库为准。
- 为防止有 SESSIONID 伪造,SESSION 要有 IP 及其它验证。
- 为了能实现多 WEB SERVER 下的用户数据一致,SESSION 从保存到本机的文件改为数据库或其它 NoSQL。
用过PHP/Ruby(Rails)/Java(Spring Boot), 从传统单体网站到前后端分离的API, 不知不觉已经忘记了 session 是什么了~
PHP 的 $_SESSION 可以在单机应用中方便的使用 session. 请求携带 cookies 信息来请求PHP Server, PHP 默认去基于文件的会话管理器中找会话ID, 找不到就认为这是一个新会话. 如果已经存在会话了,session_start() 就把文件中的内容反序列化到 $_SESSION 中, 以供读取; set session 就是把对象序列化到那个指定文件中.
Rails 默认的 Session 是基于 cookies 的, 这有效的反驳了 "session是存在服务器的" 说法, 你可以说 "session 是给服务器用的", session存在哪都可以. 当然, Rails 的 session 并不会明文的保存, 保存的是经过服务端加密之后的密文.
当前后端分离之后, session 的概念就越来越淡了. 我们使用 token 或者 jwt 来验证用户身份, 通过之后再进行下一步的业务逻辑. 取用户信息可能会使用进程内的缓存, 也可能使用分布式缓存, 已经把具体的 session 概念分解了.
新手上路,请多包涵
理论上,session 是可以存储任意的数据的; 但是,实际上,我们平常用到的数据有很多都是不用他的,因为session存储的数据是放在服务端的,每一次用到就需要打扰服务器,这是很消耗性能的;所以,session一般用于存储安全性要求比较高的而且数据量不是很大的数据。
新手上路,请多包涵
Session和用户的浏览器有关,跟用户的操作行为用关系。我这边经常拿来存放上下文。。
不如发送短信和验证短信两个步骤,
发送短信:记录已发送 xxxx 手机号的 session
验证短信:检验是否有 xxxx 手机号码的 session,校验客户端传送手机号码和 xxxx 是否一致。
完善点还要加上发送短信的实效性问题。繁殖频繁发送短信和校验短信。
其他信息如用户基本资料,个人觉得从 memcache 拿出来会好一点。
session 共享可以用 memcache 来实现,也可以用 nginx 的来实现。。
个人推荐用 nginx,结合 APC 共享内存机制。可以减少服务端的压力
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
PHP 7.3.4中preg_replace()函数未生效的原因是什么?
PHP 7.3.4中preg_replace()函数未生效的原因是什么?我在学习日常英语是收集了这样一个txt的文本,文件名eng.txt:2 回答3.1k 阅读✓ 已解决
如何在Docker PHP容器中非dockerfile解决event扩展加载失败的问题?
在乌班图的服务器里面,在docker容器里面安装扩展,非执行dockerfile,然后执行步骤为 {代码...} 2.执行最后一步也出现了 {代码...} 3.网上说event插件需要最后安装,我也是最后安装的,但是永远都会出现这个问题,后面又在AI上面看到了这一步 {代码...} 加入后,还是一样的 {代码...} 这个需要怎么去解决呢参考过[链接]...1 回答1.4k 阅读✓ 已解决
这些字存在mysql5.7的版本中。编码是:utf8mb4 发现显示不出来。都是显示一个:𰕖 字符?
这些字存在mysql5.7的版本中。编码是:utf8mb4 发现显示不出来。都是显示一个:𰕖 字符这是mysql版本的问题还是编码的问题? 有什么方法能让它显示出来呢? 谢谢1 回答1k 阅读✓ 已解决
hyperf 不同进程id的情况为什么能通过注入Sender直接发送消息?
我对 hyperf 的理解如下:hyperf 全局一个server,通过不同端口实现多协议支持,父进程监听端口,子进程共享父进程 server,并且可以在任意进程通过注解注入 Sender 实例向客户端发送消息。1 回答1.3k 阅读✓ 已解决
composer.json应该如何在线上管理?
我本地是windows环境 线上是linux 两边php版本不一样 一个7.2 一个7.3 本地用的phpstudy 我用composer require 安装了一个包 然后composer.json更新了 提交到服务器去 请问这个时候我在服务器是执行composer.update还是 composer install 呢?网上说不要update 能否有大佬给我说明白下。这个compser.json是在版本库 lock...3 回答1.2k 阅读
寻找一个简单的编译和移植多版本 php 的方案?
目的需要编译从 5.6 到 8.3 之间的多个版本每个版本可能需要支持尽量多的常用扩展将编译后的二进制程序复制到另一台mac 上可以直接运行,不受编译设备上的依赖影响问题尝试编译了几个版本,7.4 以上的版本都已编译成功,但是之下的版本由于依赖库版本较低,导致编译过程中出现的错误非常多,解决成本非常高。有一个疑问...2 回答1.2k 阅读
在php中怎么禁止www.xxx.com/article/93/cid/16.html23333这种链接能被打开?
www.xxx.com/article/93/cid/16.html正常是这样的,但是 {代码...} 就是在正确的后面随便加东西也能正常打开,这个怎么设置?1 回答1.2k 阅读
宣传栏
分开回答:
首先,session 不涉及到安全问题,session 和 cookie 相比很安全。
好像 session 可以储存任意数据,只是理论上,而且只是「可以」,但是我们讨论的是「应该」。
session 存储和用户会话相关的数据(session 的意思就是会话)。
@皮诺曹 说的
但是这有个大前提是:这些数据是和特定用户相关。张三登录时,菜单是 A、B、C;李四登录时,菜单是 A、D、M,这时数据可以放入 session。