注:本文使用的代码基于PHP,其余语言逻辑同理。php
一:使用COOKIE实现登陆验证linux
使用cookie实现登陆的方式,主要经过一些单向的加密信息进行验证。好比admin用户登陆了以后,服务端生成一个cookie值:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c ,这个cookie值包含用户名,cookie到期时间和一个信息签名。签名的信息为 ”用户名_用户密码_cookie到期时间_盐” 好比:md5(”admin_1533006028_123456_salt123”)。这样用户每次访问,只要获取到这个cookie值,而后验证cookie到期时间和签名。就能够判断该用户是否已登陆。redis
首先看看下面cookie登陆的实例代码:数据库
<?php
class Login { //登陆 public function login($account,$password) { $lifetime = time()+3600; $model = new Model(); $pwd = md5($password); $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd); if($userInfo){ $cookie =$this->user2cookie($userInfo, $lifetime); setcookie('account', $cookie, $lifetime); return true; }else{ return false; } } //验证登陆 public static function isLogin() { $cookie = $_COOKIE['account']; $re = $this->cookie2user($cookie); return $re; } //根据cookie判断一个用户是否合法的登陆用户 public function cookie2user($cookie) { if(empty($cookie)) return false; list($username,$lifetime,$token) = explode('_',$cookie); //cookie过时或者cookie1分钟内过时 if($lifetime < (time()+60)) return false; $model = new Model(); //获取缓存中的用户信息 $userInfo = $model->redis->get($username); if(!$userInfo){ $userInfo = $model->db->getOne(array(‘username’=>$username)); }else{ $userInfo = parse_url($userInfo); } if(!$userInfo){ return false; } //验证token值 $str = $username.$userInfo['password'].$lifetime.$userInfo[‘salt’]; if($token !== md5($str)) return false; $val = http_build_query($userInfo , '' , '&'); //将用户信息设置到缓存中,键值生命周期为1小时。 $model->redis->set($username,$val,3600); return true; } //生成验证用户登陆的cookie值 public function user2cookie($user,$lifetime) { $str = $user['username'].$user['password'].$lifetime.$user[‘salt’]; $token = md5($str); $re = $user['username'].'_'.$lifetime.'_'.$token; return $re; } } ?>
cookie的登陆流程: 首先经过Login() 函数验证用户提交的用户名和密码,若是验证经过则将相关信息写入cookie, 后面使用isLogin() 函数对用户的每次访问进行验证,验证的方式也是经过该用户的cookie。验证经过则说明该用户已经登陆,不然说明该用户没有登陆。跳转到登陆页面。浏览器
这里重点讲下Login类的两个关键函数cookie2user和user2cookie:缓存
一、 cookie2user根据cookie判断一个用户是否合法的登陆用户,即用户每次访问,都会经过isLogin函数验证该用户是否已经登陆。验证方式就是获取到用户这次访问的cookie值,而后将验证cookie值里的token(签名信息)值。验证经过,说明该用户是已经登陆的,不然就是为登陆或者不存在该用户。服务器
二、 user2cookie用于生成验证用户登陆的cookie值。如前文所述,该cookie值包含用户名、cookie生存时间和token值。这里关键就是这个token值的生成方式,要注意判断登陆的时候生成token值的方式要与此函数生成token值的方式一致。好比这里是将用户名,用户密码,cookie生存时间和盐进行链接并取md5值。固然加密方法也能够不用md5,也可使用sha1等。cookie
2、使用SESSION实现登陆验证session
因为session的信息是保留在服务端的,因此用户登陆户的信息保存在服务,因此无需像cookie登陆的那样将信息进行单向加密。分布式
session登陆的示例代码:
<?php class Login { //登陆 public function login($account,$password) { $model = new Model(); $pwd = md5($password); $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd); if($userInfo){ $_SESSION[‘account’] = $userInfo; return true; }else{ return false; } } //验证登陆 public static function isLogin() { if(isset($_SESSION['account'])){ return true; }else{ return false; } } } ?>
session的登陆流程:首先用户提交的用户名和密码提交到Login() 方法进行验证,若是验证经过则将信息写入session,后面每次访问都会去取该用户的session信息。若是不存在该用户的SESSION信息,则说明该用户尚未登陆,跳转到登陆页面。已经登陆了的用户每次访问,都会经过isLogin() 函数进行验证。验证不经过说明登陆过时或者没有登陆,则跳转到登陆页面。
两种方式都是经过isLogin() 方法来验证用户是否已经登录的了。该方法通常在程序的入口处进行Login::isLogin() 调用,从而对全部的访问进行验证。
3、两种方式的异同点
除了上文已经简述的以外,这里先介绍下PHP里面处理SESSION的机制。
PHP在调用seesion_start() 函数以后会生成一个字符串(通常是某些不重复的哈希值)。这个字符串就是session_id,固然这个值也能够自行调用函数session_id(‘指定的session_id 值’)进行构建,须要注意的是,session_id()函数必须在session_start() 函数以前先调用。只有调用了session_start() 函数,才会产生相应的session文件和cookie值。
具体过程以下:
一、客户端(浏览器)首次访问时,这里默认开启了session_start() 函数的,此时PHP会随机生成一个不重复的cookie(即session_id,这里假如生成ug9gch0ns7nql4gjoe3jckdab2)值。
二、服务端会生成一个session文件默认文件名为’SESS_’.session_id,即:SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。文件的保存路径默认在php.ini的session.save_path设置的路径中,例如linux系统中默认为/var/lib/php/sessions目录。(注意:此时SESS_ ug9gch0ns7nql4gjoe3jckdab2文件是个空文件,由于服务端尚未信息存入SESSION中,具体看第4步)
三、而后将生成的 ug9gch0ns7nql4gjoe3jckdab2 设置到cookie里,cookie键名默认是php.ini里设置的session.name配置项,默认是:session.name=PHPSESSID;至关于执行了$_COOKIE[‘PHPSESSID’]= ug9gch0ns7nql4gjoe3jckdab2;用户这次访问的http响应头部信息里就会包含:
Set-Cookie: PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2; path=/
相应的cookie信息就会保存到客户端。
四、用户在登陆界面输入用户名和密码并提交。此时浏览器会将用户名和密码和cookie值等信息提交到服务端。此时http请求的头部信息会包含:Cookie:PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2
五、当数据到达服务端,PHP会根据cookie内容找到session文件SESS_ ug9gch0ns7nql4gjoe3jckdab2 并将该文件读入$_SESSION 变量。而后验证用户名和密码。验证经过了。就将该用户的相关信息,好比用户名、系统权限等写入到$_SESSION 变量中。cookie没有改变。脚本执行结束时,$_SESSION变量的值会被序列化后写入SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。
验证不经过,则跳转回登陆页,cookie没有改变,$_SESSION也没有新增值。
六、若是用户完成登陆进入系统了,之后每访问一个页面,系统会获取该客户端浏览器传过来的cookie值,而后根据cookie值获取到对应的session文件,读取session文件并解序列化写入到内存中即$_SESSION变量中。接着服务端系统接口处会验证该$_SESSON文件中是否有以前设置的用户信息,如用户名和系统权限等。若是有,则说明该用户已经登陆,若是没有,则说明该用户登陆过时或者未登陆,跳转到登陆页面。
使用cookie来实现登陆就不会再使用到session了。如文章开头所述,cookie实现登陆须要将用户的信息进行单向加密。而后经过验证该密文确认用户是否已经登陆。也许你们会感受使用session验证登陆的步骤比cookie的简单许多。其实只是须要咱们处理的步骤比较少而已,有一部分是语言编译器内部实现的。好比session文件的生成匹配。因此到咱们本身操做的步骤就会相对较少。cookie实现登陆主要依靠单向加密验证,好比用户登陆时对”用户名+用户密码+cookie过时时间+盐”这些信息进行md5签名,而后将该签名放到cookie中,固然cookie值还包含用户名和cookie值的过时时间,好比:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c。后面用户每次访问都获取到这个cookie值,拆分后根据用户名和cookie值的过时时间,加上从数据库获取的用户密码和盐值,进行md5签名,而后对两步签名进行比对,若是一致,则说明是已登陆的用户。
因为用户每次访问都要验证cookie里的签名,也就是每次都要获取用户密码和盐值。通常这些信息都是存在数据库中。因此使用cookie实现登陆,会对数据库的用户表形成极大的压力。而session方式则不存在这个问题,由于session是存在文件中,用户每次访问,PHP会将该用户对应的session文件读入内存。而后再去访问$_SESSION变量获取。可是session这样处理的缺点是,当用户量特别多的时候,每一个用户都会产生一个session文件,这意味着服务器的压力倍增。就算作分布式,也还要处理session的集群。
固然,session也能够写入数据库,或者写入缓存。若是session写入数据库,那么又回到刚才cookie每次访问都要查询数据库的问题了。若是是写入缓存,倒也是权宜之计。若是在使用cookie登陆的步骤中将用户信息写入缓存,那么这种方式也能够减缓数据库的压力。每次验证时若是缓存中没有再去查询数据库。这样也不失为一个可行之计。
固然,也能够对用户表进行分表并做一主库多从库处理。在大用户量状况下,单使用数据库,应该也能支撑吧。