需要说明的是,PHP的session也是用cookie实现的,保存在浏览器的cookie名称默认为PHPSESSID.
这个session的cookie也是可以设置过期时间的,比如过期时间设置为3600秒:
session_set_cookie_params(3600);
这样关闭浏览器后在一小时内重新打开这个cookie依旧有效.
PHP session是每一个PHPSESSID默认对应一个保存会话数据的文件. 也就是说不同的PHPSESSID的会话数据是不共享的. 比如你用PHP session实现一个购物车或者视频观看记录的功能, 你把购物车的数据保存在会话文件里,那你在其他设备或浏览器登录后是看不到你的购物车数据的. 这时你应该把购物车数据保存在数据库里.
下面说说自己怎么基于数据库实现一套自定义的cookie会话机制:
cookie里存储用户ID(明文)和用户的盐值(哈希). 需要高安全性的话,还可以用MCRYPT_BLOWFISH对整个cookie的内容做一次加密. 这个cookie既要做到可以认证用户,又要做到不能被伪造. 用户的盐值是在用户注册时,为了保护密码,而随机生成并确定下来,保存在用户表里对应用户的一个字段数据.
//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );
//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));
//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));
//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
$cookie = mcrypt_blowfish($cookie, $key);
//设置cookie,这里把过期时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);
其中用户的盐,应用全局的盐,以及MCRYPT_BLOWFISH加密的密钥$key,都是随机生成并确定下来的. 算法比如:
sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )
生成的是一个进程ID+随机数+基于当前时间微秒数+熵的一个哈希值.
验证用户的时候就是先用私钥解密$_COOKIE['cookie_name'], 然后base64_decode拿到用户ID, 然后根据用户ID查询用户的盐, 然后把这个盐经过同样的哈希算法后跟cookie里的盐$cookie_salt对比, 如果一致,则判定用户的cookie有效.
//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);
//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));