注:本文使用的代码基于PHP,其他语言逻辑同理。
一:使用COOKIE实现登录验证
使用cookie实现登录的方式,主要通过一些单向的加密信息进行验证。比如admin用户登录了之后,服务端生成一个cookie值:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c ,这个cookie值包含用户名,cookie到期时间和一个信息签名。签名的信息为 ”用户名_用户密码_cookie到期时间_盐” 比如:md5(”admin_1533006028_123456_salt123”)。这样用户每次访问,只要获取到这个cookie值,然后验证cookie到期时间和签名。就可以判断该用户是否已登录。
首先看看下面cookie登录的实例代码:
<?php
class Login { //登录 public function login($account,$password) { $lifetime = time()+3600; $model = new Model(); $pwd = md5($password); $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd); if($userInfo){ $cookie =$this->user2cookie($userInfo, $lifetime); setcookie('account', $cookie, $lifetime); return true; }else{ return false; } } //验证登录 public static function isLogin() { $cookie = $_COOKIE['account']; $re = $this->cookie2user($cookie); return $re; } //根据cookie判断一个用户是否合法的登录用户 public function cookie2user($cookie) { if(empty($cookie)) return false; list($username,$lifetime,$token) = explode('_',$cookie); //cookie过期或者cookie1分钟内过期 if($lifetime < (time()+60)) return false; $model = new Model(); //获取缓存中的用户信息 $userInfo = $model->redis->get($username); if(!$userInfo){ $userInfo = $model->db->getOne(array(‘username’=>$username)); }else{ $userInfo = parse_url($userInfo); } if(!$userInfo){ return false; } //验证token值 $str = $username.$userInfo['password'].$lifetime.$userInfo[‘salt’]; if($token !== md5($str)) return false; $val = http_build_query($userInfo , '' , '&'); //将用户信息设置到缓存中,键值生命周期为1小时。 $model->redis->set($username,$val,3600); return true; } //生成验证用户登录的cookie值 public function user2cookie($user,$lifetime) { $str = $user['username'].$user['password'].$lifetime.$user[‘salt’]; $token = md5($str); $re = $user['username'].'_'.$lifetime.'_'.$token; return $re; } } ?>
cookie的登录流程: 首先通过Login() 函数验证用户提交的用户名和密码,如果验证通过则将相关信息写入cookie, 后面使用isLogin() 函数对用户的每次访问进行验证,验证的方式也是通过该用户的cookie。验证通过则说明该用户已经登录,否则说明该用户没有登录。跳转到登录页面。
这里重点讲下Login类的两个关键函数cookie2user和user2cookie:
1、 cookie2user根据cookie判断一个用户是否合法的登录用户,即用户每次访问,都会通过isLogin函数验证该用户是否已经登录。验证方式就是获取到用户此次访问的cookie值,然后将验证cookie值里的token(签名信息)值。验证通过,说明该用户是已经登录的,否则就是为登录或者不存在该用户。
2、 user2cookie用于生成验证用户登录的cookie值。如前文所述,该cookie值包含用户名、cookie生存时间和token值。这里关键就是这个token值的生成方式,要注意判断登录的时候生成token值的方式要与此函数生成token值的方式一致。比如这里是将用户名,用户密码,cookie生存时间和盐进行连接并取md5值。当然加密方法也可以不用md5,也可以使用sha1等。
二、使用SESSION实现登录验证
由于session的信息是保留在服务端的,所以用户登录户的信息保存在服务,所以无需像cookie登录的那样将信息进行单向加密。
session登录的示例代码:
<?php class Login { //登录 public function login($account,$password) { $model = new Model(); $pwd = md5($password); $userInfo = $model->db->getOne(array(‘username’=>$username,’password’=>$pwd); if($userInfo){ $_SESSION[‘account’] = $userInfo; return true; }else{ return false; } } //验证登录 public static function isLogin() { if(isset($_SESSION['account'])){ return true; }else{ return false; } } } ?>
session的登录流程:首先用户提交的用户名和密码提交到Login() 方法进行验证,如果验证通过则将信息写入session,后面每次访问都会去取该用户的session信息。如果不存在该用户的SESSION信息,则说明该用户还没有登录,跳转到登录页面。已经登录了的用户每次访问,都会通过isLogin() 函数进行验证。验证不通过说明登录过期或者没有登录,则跳转到登录页面。
两种方式都是通过isLogin() 方法来验证用户是否已经登陆的了。该方法一般在程序的入口处进行Login::isLogin() 调用,从而对所有的访问进行验证。
三、两种方式的异同点
除了上文已经简述的之外,这里先介绍下PHP里面处理SESSION的机制。
PHP在调用seesion_start() 函数之后会生成一个字符串(一般是某些不重复的哈希值)。这个字符串就是session_id,当然这个值也可以自行调用函数session_id(‘指定的session_id 值’)进行构建,需要注意的是,session_id()函数必须在session_start() 函数之前先调用。只有调用了session_start() 函数,才会产生相应的session文件和cookie值。
具体过程如下:
1、客户端(浏览器)首次访问时,这里默认开启了session_start() 函数的,此时PHP会随机生成一个不重复的cookie(即session_id,这里假如生成ug9gch0ns7nql4gjoe3jckdab2)值。
2、服务端会生成一个session文件默认文件名为’SESS_’.session_id,即:SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。文件的保存路径默认在php.ini的session.save_path设置的路径中,例如linux系统中默认为/var/lib/php/sessions目录。(注意:此时SESS_ ug9gch0ns7nql4gjoe3jckdab2文件是个空文件,因为服务端还没有信息存入SESSION中,具体看第4步)
3、然后将生成的 ug9gch0ns7nql4gjoe3jckdab2 设置到cookie里,cookie键名默认是php.ini里设置的session.name配置项,默认是:session.name=PHPSESSID;相当于执行了$_COOKIE[‘PHPSESSID’]= ug9gch0ns7nql4gjoe3jckdab2;用户此次访问的http响应头部信息里就会包含:
Set-Cookie: PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2; path=/
相应的cookie信息就会保存到客户端。
4、用户在登录界面输入用户名和密码并提交。此时浏览器会将用户名和密码和cookie值等信息提交到服务端。此时http请求的头部信息会包含:Cookie:PHPSESSID=ug9gch0ns7nql4gjoe3jckdab2
5、当数据到达服务端,PHP会根据cookie内容找到session文件SESS_ ug9gch0ns7nql4gjoe3jckdab2 并将该文件读入$_SESSION 变量。然后验证用户名和密码。验证通过了。就将该用户的相关信息,比如用户名、系统权限等写入到$_SESSION 变量中。cookie没有改变。脚本执行结束时,$_SESSION变量的值会被序列化后写入SESS_ ug9gch0ns7nql4gjoe3jckdab2 文件。
验证不通过,则跳转回登录页,cookie没有改变,$_SESSION也没有新增值。
6、如果用户完成登录进入系统了,以后每访问一个页面,系统会获取该客户端浏览器传过来的cookie值,然后根据cookie值获取到对应的session文件,读取session文件并解序列化写入到内存中即$_SESSION变量中。接着服务端系统接口处会验证该$_SESSON文件中是否有之前设置的用户信息,如用户名和系统权限等。如果有,则说明该用户已经登录,如果没有,则说明该用户登录过期或者未登录,跳转到登录页面。
使用cookie来实现登录就不会再使用到session了。如文章开头所述,cookie实现登录需要将用户的信息进行单向加密。然后通过验证该密文确认用户是否已经登录。也许大家会感觉使用session验证登录的步骤比cookie的简单许多。其实只是需要我们处理的步骤比较少而已,有一部分是语言编译器内部实现的。比如session文件的生成匹配。所以到我们自己操作的步骤就会相对较少。cookie实现登录主要依靠单向加密验证,比如用户登录时对”用户名+用户密码+cookie过期时间+盐”这些信息进行md5签名,然后将该签名放到cookie中,当然cookie值还包含用户名和cookie值的过期时间,比如:admin_1533006028_ bbf2c2b1ec5cfb62d0a30438d8d0305c。后面用户每次访问都获取到这个cookie值,拆分后根据用户名和cookie值的过期时间,加上从数据库获取的用户密码和盐值,进行md5签名,然后对两步签名进行比对,如果一致,则说明是已登录的用户。
由于用户每次访问都要验证cookie里的签名,也就是每次都要获取用户密码和盐值。一般这些信息都是存在数据库中。所以使用cookie实现登录,会对数据库的用户表造成极大的压力。而session方式则不存在这个问题,因为session是存在文件中,用户每次访问,PHP会将该用户对应的session文件读入内存。然后再去访问$_SESSION变量获取。但是session这样处理的缺点是,当用户量特别多的时候,每个用户都会产生一个session文件,这意味着服务器的压力倍增。就算做分布式,也还要处理session的集群。
当然,session也可以写入数据库,或者写入缓存。如果session写入数据库,那么又回到刚才cookie每次访问都要查询数据库的问题了。如果是写入缓存,倒也是权宜之计。如果在使用cookie登录的步骤中将用户信息写入缓存,那么这种方式也可以减缓数据库的压力。每次验证时如果缓存中没有再去查询数据库。这样也不失为一个可行之计。
当然,也可以对用户表进行分表并作一主库多从库处理。在大用户量情况下,单使用数据库,应该也能支撑吧。