前言:很久很久之前,所谓的互联网,就是一个浏览器一个服务器,二者之间通过 http 协议连接起来。因为 http 协议是无状态连接的,每一次请求之间是没有任何关系,好处是速度快,坏处是无法共享信息,例如我们如果第一次做了一些操作,比如登录、存储啊,第二次去的时候,服务器不认识你。
以前的网站,基本用来查看些文件或者图片,网站只提供了文件浏览功能,几乎没啥交互。但随着互联网的飞速发展, http无状态的缺点被放大。各种各样的交互网站兴起。
一、cookie
我们不能修改HTTP协议(无状态),所以 cookie 的出现就是解决 http 无状态连接,cookie 能让服务器记住用户。我们来看看这个过程。
首先的打开自己电脑上的服务器模拟环境,本次演示我用的PHPstudy。
PHPstudy 环境里新建一个 login.php
<?php
// 拿到get请求的值
$name = $_GET["name"];
// 设置cookie
setcookie("name",$name);
// 看看cookie是否真的设置成功
echo $_COOKIE["name"];
?>
setcookie函数介绍
setcookie(name,value,expire,path,domain,secure)
name 设置cookie 的名称,该参数的值必须设置。
value 设置cookie的值,该参数必须设置。
expire 可选。设置cookie的有效期,一般为时间戳。
path 可选。设置cookie的服务器路径。
domain 可选。设置cookie的域名。
secure 可选。规定是否通过安全的 HTTPS 连接来传输cookie。
设置cookie过期时间,只需要设置第三个参数即可。
例如:设置 cookie 在一天后过期失效
setcookie ("mycookie", "123", time()+3600*24);
PHP的time()就是JS里面的Date.parse(new Date())//当前时间的时间戳
然后输入网址查看:
浏览器第一访问服务器时,会通过下行响应报文头,服务器下发一个
Set-Cookie 来设置cookie 的值,这样浏览器每次去访问这个网站,都会通过上行请求携带 cookie ,让浏览器认识自己。
cookie 是保存在客户端本地的数据,是一个很小的文本文件,我们我们可以再network里面进行修改。
看例子:
index.php 实现登录验证:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>模拟登录</title>
</head>
<body>
<?php
if(isset($_COOKIE["name"])){
?>
<h1>恭喜你!成功登录!</h1>
<?php
}else{
?>
<h1>登录</h1>
用户名:<input type="text" id="txt">
<button id="btn">登录</button>
<?php
}
?>
</body>
</html>
<script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
<script>
$("#btn").click(function(){
$.get('login.php?name=' + $("#txt").val(), function(){
alert('成功登录!');
});
});
</script>
login.php 的内容不变。
模拟登陆
但是 cookie 最大的问题就是明文存储不安全。可直接进行修改。
二、session
为了解决安全问题,同一年 session 被发明出来。session 不在发送随机明文而是随机乱码让你不知道怎么改,同时session存储在服务器端也更加安全。
看看如何实现 session:
<?php
session_start();
//生存时间默认为1440秒,即24分钟;
//修改$_COOKIE['PHPSESSID']的生存时间为50秒;
//session_set_cookie_params('50');
// 得到GET请求
$name = $_GET["name"];
// 设置session
$_SESSION['name'] = $name;
// 看看session是否真的设置成功
echo $_SESSION['name'];
?>
直接测试访问:http://127.0.0.1/3/login.php?name=session
第一次访问(为了准确性别忘了每次清除记录)PHP版服务器下发的随机乱码,以后每次访问都会携带此 cookie:
第二次访问:
| 名字 | 安全性 | 原因 | 不同 |
|---|---|---|---|
| cookie | 不安全 | 存储在浏览器端、明文 | 数据类型只能是字符串(json) |
| session | 安全 | 它信息存在服务器端、乱码 | 可以存放任意数据 |
Session 和 Cookie 的作用都是为了保持访问用户与后端服务器的交互状态,且session必须依赖cookie实现。
但是 session 的安全性还是不够,虽然我是不能随机改动 cookie 了,但是我要是看见了你的network 面板在我的电脑上改动一下,我就成了你。所以 token 出世了。
三、token
Token 就是根据用户的设备信息,比如 IP 地址、浏览器版本、浏览器内核、操作系统版本等等一系列,进行MD5秘钥计算,下发。要求用户每次携带。这样就算session 被小人偷看了,小人在自己的电脑上改动 cookie 想要进行伪装,服务器除了验证 session 是否正确还会验证一些电脑的特征。防止出现session泄露。
看看如何实现:
login.php
<?php
// 对浏览器进行MD5加密
$feature = $_SERVER['HTTP_USER_AGENT'];
echo md5($feature);
?>
先访问 http://127.0.0.1/3/login.php 拿到 http 加密后的密码。
修改 index.php
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>模拟登录</title>
</head>
<body>
<?php
// 对浏览器进行MD5加密
$feature = $_SERVER['HTTP_USER_AGENT'];
$token = $_GET["token"];
if(md5($feature) === $token){
?>
<h1>恭喜你!成功登录!</h1>
<?php
}else{
?>
无权访问
<?php
}
?>
</body>
</html>
访问 index.php 并携带 token
随便修改携带的 token都不行:
token 的 9 变成 8
有时候网页提供的异地登录不就是这个功能吗。
四、顺便讲一下
在 HTML5 出现之前,人们一直用 cookie 充当本地存储。通过 document.cookie(没有括号) 来读取 cookie(类似本地存储的 localStorage.getItem()),本地存储 2013年才发明,从当前发布的IE10 开始兼容。2013 年之前,都是 cookie 存储数据。
网友评论