session中应该存储哪些信息?

考虑到安全的问题,session(php编程)中应该存储哪些用户信息呢?

阅读 21.5k
11 个回答

分开回答:

考虑到安全的问题

首先,session 不涉及到安全问题,session 和 cookie 相比很安全。

session(php编程)中应该存储哪些用户信息

  1. session 没有大小限制,所以,可以储存任意数量的数据
  2. session 没有类型限制,所以,可以储存任意类型的数据
  3. session 没有安全问题,所以,可以储存任意安全级别的数据

好像 session 可以储存任意数据,只是理论上,而且只是「可以」,但是我们讨论的是「应该」

session 存储和用户会话相关的数据(session 的意思就是会话)。

@皮诺曹 说的

我手头的一个项目,是把模块的信息(属性、菜单、结合权限生成栏目列表)写入SEESION的。

但是这有个大前提是:这些数据是和特定用户相关。张三登录时,菜单是 A、B、C;李四登录时,菜单是 A、D、M,这时数据可以放入 session。

默认情况下SESSION保存在服务器的硬盘中,没有特别的存储长度限制,理论上可以存储任何数据,但并不建议任何数据都保存在SESSION中,原因不说了(考虑一下用户数及其庞大的情况下,每访问一个php文件,就要读取SEESION,特别是SEESION写入内存的情况下。),当然也可以写入memcache,甚至单独的SESSION服务器。

SESSION通常用来保存与用户信息相关的: 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)

我通常把通用的、频繁存取的、小数据量的跟用户相关的数据放入SEESION,视场景而定,我手头的一个项目,是把模块的信息(属性、菜单、结合权限生成栏目列表)写入SEESION的。

基于REST考虑,应该放弃采用session,仅保留cookie中的sessionid用于用户识别。 其实上面说的把session放到redis、memcache等做法就是。 把session数据和其他业务数据同等对待。

--补充--
session的最大弊端在于集群环境中的session复制,这导致了对Share-Nothing Architecture的违反,严重拖累性能、可伸缩性。 session只是很小程度上简化了开发,同时也导致了开发人员的懒惰/放弃思考。 放弃session概念,把会话当作其他业务数据对待,根据业务场景设计正确的缓存策略、失效策略、集群存储等。

  1. 用 SESSION 的目的是缓存一些用户会话阶段的各种数据,比如头像、用户名、真实姓名、积分等等,所有这些数据都应该是只读操作,在有写操作时以数据库为准。
  2. 为防止有 SESSIONID 伪造,SESSION 要有 IP 及其它验证。
  3. 为了能实现多 WEB SERVER 下的用户数据一致,SESSION 从保存到本机的文件改为数据库或其它 NoSQL。

用过PHP/Ruby(Rails)/Java(Spring Boot), 从传统单体网站到前后端分离的API, 不知不觉已经忘记了 session 是什么了~

PHP 的 $_SESSION 可以在单机应用中方便的使用 session. 请求携带 cookies 信息来请求PHP Server, PHP 默认去基于文件的会话管理器中找会话ID, 找不到就认为这是一个新会话. 如果已经存在会话了,session_start() 就把文件中的内容反序列化到 $_SESSION 中, 以供读取; set session 就是把对象序列化到那个指定文件中.

Rails 默认的 Session 是基于 cookies 的, 这有效的反驳了 "session是存在服务器的" 说法, 你可以说 "session 是给服务器用的", session存在哪都可以. 当然, Rails 的 session 并不会明文的保存, 保存的是经过服务端加密之后的密文.

当前后端分离之后, session 的概念就越来越淡了. 我们使用 token 或者 jwt 来验证用户身份, 通过之后再进行下一步的业务逻辑. 取用户信息可能会使用进程内的缓存, 也可能使用分布式缓存, 已经把具体的 session 概念分解了.

session 是服务器端的,又不会直接暴露给用户,存什么都可以啊。

新手上路,请多包涵

理论上,session 是可以存储任意的数据的; 但是,实际上,我们平常用到的数据有很多都是不用他的,因为session存储的数据是放在服务端的,每一次用到就需要打扰服务器,这是很消耗性能的;所以,session一般用于存储安全性要求比较高的而且数据量不是很大的数据。

session里“能”存的东西并无限制,session里“应该”存的东西是“少一点好”。

新手上路,请多包涵

用多少取多少,用多少存多少~~

新手上路,请多包涵

Session和用户的浏览器有关,跟用户的操作行为用关系。我这边经常拿来存放上下文。。
不如发送短信和验证短信两个步骤,
发送短信:记录已发送 xxxx 手机号的 session
验证短信:检验是否有 xxxx 手机号码的 session,校验客户端传送手机号码和 xxxx 是否一致。

完善点还要加上发送短信的实效性问题。繁殖频繁发送短信和校验短信。

其他信息如用户基本资料,个人觉得从 memcache 拿出来会好一点。

session 共享可以用 memcache 来实现,也可以用 nginx 的来实现。。
个人推荐用 nginx,结合 APC 共享内存机制。可以减少服务端的压力

除了密码之外的..

推荐问题
宣传栏