Laravel中的Sessionid处理机制详解
前言
本文主要给大家介绍了关于Laravel中Sessionid处理机制的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。
在 Laravel 的配置文件 config/session.php 中可以设置 Session Cookie Name,比如这个项目中设置名称为“sns_session”:
/* |-------------------------------------------------------------------------- | Session Cookie Name |-------------------------------------------------------------------------- | | Here you may change the name of the cookie used to identify a session | instance by ID. The name specified here will get used every time a | new session cookie is created by the framework for every driver. | */ 'cookie' => 'sns_session',
我们可以看到刷新页面,查看 cookie,会发现一个名称为 sns_session 的 cookie,名字就是我们自定义的。
这个 sessionid 就是 cookie 和 session 联系的桥梁,服务器通过这个 sessionid 判断来自哪个客户端的请求。
Laravel 的 sessionid 每次刷新发生变化
但是,每次刷新页面,这个 cookie 值都会发生改变!那么这样服务器如何保持会话呢?因为你的 sessionid 总是在变。
Laravel 对 cookie 进行加密
我们在 vendor/laravel/framework/src/Illuminate/Session/Store.php 的 save 方法中调试一下,打印一下这里的调用栈:
/**
* {@inheritdoc}
*/
public function save()
{
$this->addBagDataToSession();
$this->ageFlashData();
$this->handler->write($this->getId(), $this->prepareForStorage(serialize($this->attributes)));
$this->started = false;
dd(debug_backtrace(DEBUG_BACKTRACE_PROVIDE_OBJECT,5));
}
每次刷新页面,这个 Store 对象的 id 属性其实是没有变化的,这个属性就是 sessionid 这个 cookie 的值。也就是说,sessionid 的值并不是每次发生变化,而是写 cookie 的时候,值发生了变化。
在 vendor/laravel/framework/src/Illuminate/Cookie/Middleware/EncryptCookies.php 中的 encrypt 方法找到了原因,这个中间件对所有 cookie 值进行了加密处理,它被包含在 web 中间件。
protected function encrypt(Response $response)
{
foreach ($response->headers->getCookies() as $cookie) {
if ($this->isDisabled($cookie->getName())) {
continue;
}
$response->headers->setCookie($this->duplicate(
$cookie, $this->encrypter->encrypt($cookie->getValue())
));
}
return $response;
}
而这种加密方式是每次加密的结果都不同,所以表现为 sessionid 的值每次都发生了变化,而实际上并没有改变。在需要用到这个 cookie 的时候会被解密回去。
Laravel 框架这样设计的目的可能是为了防止 session 劫持吧!考虑还是比较全面的!
其他补充知识
原生 PHP 设置 session 名称
session_name() 函数:
<?php
/* 设置会话名称为 WebsiteID */
$previous_name = session_name("WebsiteID");
echo "The previous session name was $previous_name<br />";
?>
session_name() 函数返回当前会话名称。 如果指定 name 参数, session_name() 函数会更新会话名称, 并返回 原来的 会话名称。
请求开始的时候,会话名称会被重置并且存储到 session.name 配置项。 因此,要想设置会话名称,那么对于每个请求,都需要在 调用 session_start() 或者 session_register() 函数 之前调用 session_name() 函数。
COOKIE和SESSION的区别和关系
- COOKIE保存在客户端,而SESSION则保存在服务器端
- 从安全性来讲,SESSION的安全性更高
- 从保存内容的类型的角度来讲,COOKIE只保存字符串(及能够自动转换成字符串)
- 从保存内容的大小来看,COOKIE保存的内容是有限的,比较小,而SESSION基本上没有这个限制
- 从性能的角度来讲,用SESSION的话,对服务器的压力会更大一些
- SEEION依赖于COOKIE,但如果禁用COOKIE,也可以通过url传递
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对小牛知识库的支持。
-
本文向大家介绍Java中的异常和处理机制实例详解,包括了Java中的异常和处理机制实例详解的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了Java中的异常和处理机制。分享给大家供大家参考,具体如下: 简介 程序运行时,发生的不被期望的事件,它阻止了程序按照程序员的预期正常执行,这就是异常。异常发生时,是任程序自生自灭,立刻退出终止,还是输出错误给用户?或者用C语言风格:用函数返回值作为执行
-
本文向大家介绍Android消息处理机制Looper和Handler详解,包括了Android消息处理机制Looper和Handler详解的使用技巧和注意事项,需要的朋友参考一下 Android系统的消息队列和消息循环都是针对具体线程的,一个线程可以存在(当然也可以不存在)一个消息队列和一个消 息循环(Looper),特定线程的消息只能分发给本线程,不能进行跨线程,跨进程通讯。但是创建的工作线程默
-
本文向大家介绍Java 异常处理机制的理解?相关面试题,主要包含被问及Java 异常处理机制的理解?时的应答技巧和注意事项,需要的朋友参考一下 Java对异常进行了分类,不同类型的异常分别用不同的Java类表示,所有异常的根类为 java.lang.Throwable,Throwable下面又派生了两个子类:Error和Exception。 Error表示应用程序本身无法克服和恢复的一种严重问题。
-
本文向大家介绍SpringBoot错误处理机制以及自定义异常处理详解,包括了SpringBoot错误处理机制以及自定义异常处理详解的使用技巧和注意事项,需要的朋友参考一下 上篇文章我们讲解了使用Hibernate Validation来校验数据,当校验完数据后,如果发生错误我们需要给客户返回一个错误信息,因此这节我们来讲解一下SpringBoot默认的错误处理机制以及如何自定义异常来处理请求错误。
-
本文向大家介绍Java异常处理机制try catch流程详解,包括了Java异常处理机制try catch流程详解的使用技巧和注意事项,需要的朋友参考一下 在项目中遇到try...catch...语句,因为对Java异常处理机制的流程不是很清楚,导致对相关逻辑代码不理解。所以现在来总结Java异常处理机制的处理流程: 1.异常处理的机制如下:在方法中用 try... catch... 语句捕获并处
-
本文向大家介绍SpringBoot 错误处理机制与自定义错误处理实现详解,包括了SpringBoot 错误处理机制与自定义错误处理实现详解的使用技巧和注意事项,需要的朋友参考一下 【1】SpringBoot的默认错误处理 ① 浏览器访问 请求头如下: ② 使用“PostMan”访问 请求头如下: 总结:如果是浏览器访问,则SpringBoot默认返回错误页面;如果是其他客户端访问,则默认返回JSO