本來想詳細(xì)講解一下的�,想想還是算了,簡單列一下登錄認(rèn)證過程中,就應(yīng)該能理解了
客戶端: 我要查看用戶資料
服務(wù)端: 你沒有憑證(cookie)�,請先獲得憑證再來,獲得憑證需要你提供用戶名密碼�。
客戶端: 好的,這是我的用戶名和密碼
服務(wù)端: 驗(yàn)證通過�,現(xiàn)在為你生成憑證,請保管好�,以后只認(rèn)憑證,就算阿貓阿狗拿著你的憑證來查資料�,我也會給他。
�。。�。
客戶端:我要查用戶資料,這是我的憑證.
服務(wù)端:好的�,請稍等,我確認(rèn)一下你的憑證是否真的�,OK,是真的�,資料拿去。
�。。�。
客戶端:我要查用戶資料,這是我的憑證.
服務(wù)端:對不起�,你的憑證已經(jīng)過期失效了,請重新提供用戶名密碼獲得新的憑證�。
OK,再來講一下怎么生成憑證和怎么驗(yàn)證憑證:
生成的條件是驗(yàn)證用戶提供的用戶名和密碼是對的,
a. 生成隨機(jī)唯一的session_id, 比如md5(用戶id+毫秒數(shù))
b. 生成session內(nèi)容�,并建立session_id與session內(nèi)容的對應(yīng)關(guān)系
即服務(wù)端拿一本帳本,記錄下這個憑證(根椐標(biāo)識)對應(yīng)的用戶名(一般是用戶ID)是誰�,類似:
abcd123 => 'Tim',
ee22343 => 'You'
(這個對應(yīng)關(guān)系,可以保存在文件�、memcache、數(shù)據(jù)庫等等�,這就是用不同介質(zhì)保存session的原理)
c. 將session_id加密、簽名,寫到憑證中�,返回客戶端。
用通俗語言來描述這個過程就是:
驗(yàn)證用戶名密碼正確后
服務(wù)端拿出一張紙�,隨機(jī)寫上一個標(biāo)識(比如像醫(yī)生寫病歷,有一定的防偽性) ---- session_id
再拿出帳本�,寫上這個“標(biāo)識”與“用戶”的關(guān)聯(lián),表示這個標(biāo)識就等同于用戶A ----session_id與session內(nèi)容關(guān)聯(lián)
給這張紙蓋上大印 ----session_id加密和防偽
將這張紙作為憑證�,交給用戶 ---- 將加密后的session_id作為cookie返回�。
最后�,用戶下次來請求,帶上了憑證�,服務(wù)端驗(yàn)證過程:
- 有憑證
- 看看大印是否自己的(驗(yàn)證有效性)
- 讀取憑證中的標(biāo)識(嗯,一般只有醫(yī)生能讀懂自己寫的東西)
- 拿出帳本�,查找標(biāo)識對應(yīng)的用戶,有找到�,驗(yàn)證成功,返回相關(guān)內(nèi)容
其它:
憑證有效期:比如可以約定�,一天后就沒有用了
帳本有效期:session也是可以有效期的,比如我每隔一小時就刪除一些沒有用到的session�,清理之后,就算你的憑證是真實(shí)的�,但也無效了。
最后�,cookie是標(biāo)準(zhǔn)實(shí)現(xiàn),無所謂自己實(shí)現(xiàn)(你可能只是需要封裝操作指令),要自己實(shí)現(xiàn)session的話�,無非就是解決這幾個問題:
1)決定你的帳本(用什么方式保存)
2) 實(shí)現(xiàn)寫帳本(根據(jù)session_id寫數(shù)據(jù))
3) 實(shí)現(xiàn)讀帳本(按session_id讀數(shù)據(jù))
4) 實(shí)現(xiàn)清理帳本過期數(shù)據(jù)
