onethink中的用户登陆session签名

用户登陆签名问题，即防止伪造登陆session，增长一个用户登陆数组的加密签名

 

onethink的登陆控制，先调用UC表中（UC表也是存储在网站或本地的数据库中的），确认登陆信息。若是UC表登陆成功，则判断用户表（member)，传入的是用户的uid，session记录uid,username,last_login_time这三个字段构成的数组。session标识为：user_auth

 

接着session记录调用公共函数data_auth_sign签名后的数组session标识为：user_auth_sign

 

在公共函数is_login函数中，

$user = session(user_auth);

session(user_auth_sign)==data_auth_sign($user);

 

这样作的好处是什么呢？这样能够防止模拟session模拟登录，也就是说若是伪造了session，也就是说，若是模拟session的话，那么还要模拟一份user_auth_sign，而user_auth_sign的加密方式，鲜为人知。

 

tip:session能够传入和记录数组的。