会话技术

会话技术初步认识

会话技术的分类

两种会话技术的区别

会话技术初步认识

会话技术的介绍：web会话可简单理解为：用户开一个浏览器访问某一个web站点，在这个站点点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。

HTTP协议的特点是无连接/无状态，当一个浏览器连续多次请求同一个web服务器时，服务器是无法区分多个操作是否来自同一浏览器（用户），会话技术就是通过HTTP协议想办法让服务器能够识别来自同一个浏览器的多次请求，从而方便浏览器（用户）在访问同一个网站的多次操作中，能够持续进行而不需要进行额外的身份验证。

会话技术的分类

1）cookie技术

Cookie是在HTTP协议下，服务器或脚本可以维护客户工作站上信息的一种方式。

Cookie是由web服务器保存在用户浏览器（客户端）上的小文本文件（HTTP协议响应头），它可以包含有关用户信息。无论何时用户连接到服务器（HTTP请求携带数据），web站点都可以访问Cookie信息。

2）session技术

Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入到系统到注销退出系统之间所经过的时间，以及如果需要的话，可能还要一定的操作空间。Session技术是将数据保存到服务器端，无论何时用户连接到服务器，web站点都可以访问Session信息：SESSION技术的实现是依赖COOKIE技术的。

两种会话技术的区别

1）安全性方面

a)Session存储在服务器端，安全性高

b)Cookie存储在浏览器端，安全性低

2）数据大小方面

a)Cookie的数量和大小都有限制（20个/4k）

b)Session数据存储不限

3）可用数据类型

a)Cookie只能存储简单数据：数值/字符串

b)Session可以存储复杂数据（自动序列化）

4）保存位置方面

a)Cookie保存在浏览器上

b)Session保存在服务器上

COOKIE技术：服务器将数据通过HTTP响应存储到浏览器上，浏览器可以在以后携带对应的COOKIE数据访问服务器。

1、第一次请求时，PHP通过setcookie函数将数据通过http协议响应头传输给浏览器

2、浏览器在第一次响应的时候将Cookie数据保存到浏览器

3、浏览器后续请求同一个网站的时候，会自动检测是否存在Cookie数据，如果存在将在请求头中将数据携带到服务器。

4、PHP执行的时候会自动判断浏览器请求中是否携带Cookie，如果有，自动保存到$_COOKIE中。

5、利用$_COOKIE访问Cookie数据

设置COOKIE信息

setcookie（string $name [, string $value = ""]）函数用来设定COOKIE信息

cookie值的类型要求：必须是简单类型中的整数或者字符串

读取COOKIE信息

1）$_COOKIE数组的使用

COOKIE（会话技术）能够实现跨脚本共享数据

COOKIE生命周期：COOKIE在浏览器生存时间（浏览器在下次访问服务器的时候是否携带对应的COOKIE）

1）默认（不设定）时的生命周期：不设定周期默认是关闭浏览器（会话结束）

2）设定一个常规日期戳的周期：通过setcookie 第三个参数可以限定生命周期，是用时间戳来管理，从格林威治时间开始

3）设定为“0”的周期：在第三个周期设定生命周期的时候，用0代替时间戳：表示就是普通设置，会话结束过期。

4）删除一个cookie做法：服务器没有权限去操作浏览器上的内容（不可能删除）。可以通过设定生命周期来让浏览器自动判定cookie是否有效，无效就删除。

4.1 清空cookie数据内容

4.2 设定时间戳过期

作用范围:在不同的文件夹层级中，设定的COOKIE默认是在不同的文件夹下有访问限制。上层文件夹中设定的COOKIE可以在下层（子文件夹）中访问，而子文件夹中设定的COOKIE不能在上层文件夹中访问。

1）默认（不设定）的范围：就是使用COOKIE默认的作用范围

上层看不到下层内容，下层可以看到上层内容

2）设定为“/”的含义：告知浏览器当前COOKIE的作用范围是网站根目录

setcookie（名字，值，生命周期，作用范围）

跨子域：在同一级别域名下，可以有多个子域名，它们之间是搭建在不同的服务器上（不同文件夹），但是可以通过COOKIE设置实现对应的COOKIE共享访问。但是默认是不允许跨域名访问的

1）设定cookie有效域名：不同的域名（包含主机）之间不能共享COOKIE，可以通难过setcookie函数的第五个参数来控制：setcookie（名字，值，生命周期，作用范围，有效域名）

2）不设定时的默认有效域名

3）跨子域的设定方法：在设定域名访问的时候设定上级域名即可：myphp.com，这个是所有以myphp.com结尾的网站都可以共享COOKIE

COOKIE本身只支持简单数据（数字或者字符串），能够保留的数据本身有限，也不成体系。如果需要使用COOKIE来表示一组数据的话，想办法凑成数组，（COOKIE不支持数组）

1）设置形式：setcookie（‘c1[k1]’,值）

2）读取形式：$_COOKIE[‘c1’][‘k1’]

SESSION基本使用

SESSION原理

Session与浏览器无关，但是与Cookie有关。

1、PHP碰到session_start开启session会话，会自动检测sessionID

a)如果Cookie中存在，使用现成的

b)如果Cookie中不存在创建一个sessionID，并通过响应头以Cookie形式保存到浏览器上

2、初始化超全局变量$_SESSION为一个空数组

3、PHP通过sessionID去指定位置（session文件存储位置）匹配对应文件

a)不存在该文件：创建一个sessionID命名文件

b)存在该文件：读取文件内容（反序列化），将数据存储到$_SESSION中

4、脚本执行结束：将$_SESSION中保存的所有数据序列化存储到sessionID对应的文件中。

SESSION基本使用

启用session，任何时候都需要开启session（脚本使用到$_SESSION就开启一次）

$_SESSION是通过session_start()函数的调用才会定义的，没有直接定义。

SESSION使用需要开启session_start()

设置SESSION信息

如果想存储数据到session中，那么只要不断给$_SESSION数组添加元素即可。

读取SESSION信息

$_SESSION就是一个数组，存储什么数据，什么方式的，就可以通过什么方式访问什么数据

会话技术的本质是为了实现跨脚本共享数据：在一个脚本中定义数据，在另一个脚本中保存数据

删除SESSION信息

删除session就是将session数据清理掉（让$_SESSION拿不到）

删除一个SESSION信息

unset（$_SESSION[元素下标]）删除指定SESSION数据

删除全部SESSION信息

删除全部数据就是让$_SESSION变成有一个空数组

SESSION相关配置

SESSION基础配置（php.ini）

1）session.name :session名字，保存到COOKIE中sessionID对应的名字

2）session.auto_start：是否自动开启session（无需手动session_start()），默认是关闭的

3）session.save_handler：session数据的保存方式，默认是文件形式

4）session.save_path：session文件默认存储位置

使用系统的文件夹存储不安全，需要指定存储路径

SESSION常用配置（php.ini）

1）session.cookie_lifetime：PHPsessionID在浏览器端对应COOKIE的生命周期，默认是会话结束

2) session.cookie_path：sessionID在浏览器存储之后允许服务器访问的路径（COOKIE有作用范围）

3）session.cookie_domain：COOKIE允许访问的子域（COOKIE允许跨子域）

配置的两种形式

1）php.ini中配置：全局配置

2）脚本中配置：PHP可以通过ini_set函数来在运行中设定某些配置项（只会对当前运行的脚本有效）把这种配置称之为项目级

@ini_set（‘session.save_path’,路径）

销毁SESSION

SESSION删除是指删除SESSION数据，，$_SESSION中看不到而已。销毁session是指删除session对应的session文件。

系统提供了一个函数：session_destroy(),会自动根据session_start()得到的sessionID去找到指定的session文件，并把其删除。

SESSION垃圾回收机制

垃圾回收机制原理

Session会话技术后，session文件并不会自动清除，如果每天有大量session文件产生当时又都是失效的，会增加服务器的压力和影响session效率。

垃圾回收，是指session机制提供了一种解决垃圾session文件的方式：给session文件指定周期，通过session文件最后更改时间和生命周期进行结合判定，如果过期则删除对应的session文件，如果没有过期则保留。这样可以及时清理无效的僵尸文件，从而提升空间利用率和session工作效率。

1、任何一次啊session开启，session都尝试去读取session文件

2、读取session文件后，有可能触发垃圾回收机制（在session系统中也是一个函数，：自己有一定几率调用）

3、垃圾回收机制会自动读取所有session文件的最后编辑时间，然后加上生命周期（配置文件）与当前时间进行比较（所有session文件）

a)过期：删除

b)有效：保留

垃圾回收参数设置（php.ini）

1）session.gc_maxlifetime = 1440:规定的session文件最大的生命周期是1440秒，24分钟。

2 ) session.gc_probability = 1:垃圾回收概率因子（分子）

3 ) session.gc_divisor = 1000:垃圾回收概率分母

默认的触发概率是1/1000；