Laravel Sessionid 處理機制

紙牌屋弗蘭克發表於2017-09-11
LaravelSession

在 Laravel 的配置檔案 config/session.php 中可以設定 Session Cookie Name,比如這個專案中設定名稱為“sns_session”:

/*
|--------------------------------------------------------------------------
| Session Cookie Name
|--------------------------------------------------------------------------
|
| Here you may change the name of the cookie used to identify a session
| instance by ID. The name specified here will get used every time a
| new session cookie is created by the framework for every driver.
|
*/

'cookie' => 'sns_session',

我們可以看到重新整理頁面,檢視 cookie,會發現一個名稱為 sns_session 的 cookie,名字就是我們自定義的。

這個 sessionid 就是 cookie 和 session 聯絡的橋樑,伺服器通過這個 sessionid 判斷來自哪個客戶端的請求。

但是,每次重新整理頁面,這個 cookie 值都會發生改變!那麼這樣伺服器如何保持會話呢?因為你的 sessionid 總是在變。

laravel-session

我們在 vendor/laravel/framework/src/Illuminate/Session/Store.php 的 save 方法中除錯一下,列印一下這裡的呼叫棧:

/**
 * {@inheritdoc}
 */
public function save()
{
    $this->addBagDataToSession();

    $this->ageFlashData();

    $this->handler->write($this->getId(), $this->prepareForStorage(serialize($this->attributes)));

    $this->started = false;

    dd(debug_backtrace(DEBUG_BACKTRACE_PROVIDE_OBJECT,5));
}

每次重新整理頁面,這個 Store 物件的 id 屬性其實是沒有變化的,這個屬性就是 sessionid 這個 cookie 的值。也就是說,sessionid 的值並不是每次發生變化,而是寫 cookie 的時候,值發生了變化。

laravel-session2

在 vendor/laravel/framework/src/Illuminate/Cookie/Middleware/EncryptCookies.php 中的 encrypt 方法找到了原因,這個中介軟體對所有 cookie 值進行了加密處理,它被包含在 web 中介軟體。

protected function encrypt(Response $response)
{
    foreach ($response->headers->getCookies() as $cookie) {
        if ($this->isDisabled($cookie->getName())) {
            continue;
        }

        $response->headers->setCookie($this->duplicate(
            $cookie, $this->encrypter->encrypt($cookie->getValue())
        ));
    }
    return $response;
}

而這種加密方式是每次加密的結果都不同,所以表現為 sessionid 的值每次都發生了變化,而實際上並沒有改變。在需要用到這個 cookie 的時候會被解密回去。

補充知識

原生 PHP 設定 session 名稱

session_name() 函式:

<?php

/* 設定會話名稱為 WebsiteID */

$previous_name = session_name("WebsiteID");

echo "The previous session name was $previous_name<br />";
?>

session_name() 函式返回當前會話名稱。 如果指定 name 引數, session_name() 函式會更新會話名稱, 並返回 原來的 會話名稱。

請求開始的時候,會話名稱會被重置並且儲存到 session.name 配置項。 因此,要想設定會話名稱,那麼對於每個請求,都需要在 呼叫 session_start() 或者 session_register() 函式 之前呼叫 session_name() 函式。

COOKIE和SESSION的區別和關係

  • COOKIE儲存在客戶端,而SESSION則儲存在伺服器端
  • 從安全性來講,SESSION的安全性更高
  • 從儲存內容的型別的角度來講,COOKIE只儲存字串(及能夠自動轉換成字串)
  • 從儲存內容的大小來看,COOKIE儲存的內容是有限的,比較小,而SESSION基本上沒有這個限制
  • 從效能的角度來講,用SESSION的話,對伺服器的壓力會更大一些
  • SEEION依賴於COOKIE,但如果禁用COOKIE,也可以通過url傳遞

(本文為小談部落格原創,轉載請註明出處!原文地址:https://blog.tanteng.me/2017/09/laravel-session-scheme/

相關文章