考虑到安全的问题,session(php编程)中应该存储哪些用户信息呢?
分开回答:
考虑到安全的问题
首先,session 不涉及到安全问题,session 和 cookie 相比很安全。
session(php编程)中应该存储哪些用户信息
好像 session 可以储存任意数据,只是理论上,而且只是「可以」,但是我们讨论的是「应该」。
session 存储和用户会话相关的数据(session 的意思就是会话)。
@皮诺曹 说的
我手头的一个项目,是把模块的信息(属性、菜单、结合权限生成栏目列表)写入SEESION的。
但是这有个大前提是:这些数据是和特定用户相关。张三登录时,菜单是 A、B、C;李四登录时,菜单是 A、D、M,这时数据可以放入 session。
默认情况下SESSION保存在服务器的硬盘中,没有特别的存储长度限制,理论上可以存储任何数据,但并不建议任何数据都保存在SESSION中,原因不说了(考虑一下用户数及其庞大的情况下,每访问一个php文件,就要读取SEESION,特别是SEESION写入内存的情况下。),当然也可以写入memcache,甚至单独的SESSION服务器。
SESSION通常用来保存与用户信息相关的: 1. 身份信息、登陆状态 2. 用户的个性配置、权限列表 3. 其他的一些通用数据(比如购物车)
我通常把通用的、频繁存取的、小数据量的跟用户相关的数据放入SEESION,视场景而定,我手头的一个项目,是把模块的信息(属性、菜单、结合权限生成栏目列表)写入SEESION的。
基于REST考虑,应该放弃采用session,仅保留cookie中的sessionid用于用户识别。 其实上面说的把session放到redis、memcache等做法就是。 把session数据和其他业务数据同等对待。
--补充--
session的最大弊端在于集群环境中的session复制,这导致了对Share-Nothing Architecture的违反,严重拖累性能、可伸缩性。
session只是很小程度上简化了开发,同时也导致了开发人员的懒惰/放弃思考。
放弃session概念,把会话当作其他业务数据对待,根据业务场景设计正确的缓存策略、失效策略、集群存储等。
除了密码之外的..
session 是服务器端的,又不会直接暴露给用户,存什么都可以啊。
理论上,session 是可以存储任意的数据的; 但是,实际上,我们平常用到的数据有很多都是不用他的,因为session存储的数据是放在服务端的,每一次用到就需要打扰服务器,这是很消耗性能的;所以,session一般用于存储安全性要求比较高的而且数据量不是很大的数据。
session里“能”存的东西并无限制,session里“应该”存的东西是“少一点好”。
用多少取多少,用多少存多少~~
Session和用户的浏览器有关,跟用户的操作行为用关系。我这边经常拿来存放上下文。。
不如发送短信和验证短信两个步骤,
发送短信:记录已发送 xxxx 手机号的 session
验证短信:检验是否有 xxxx 手机号码的 session,校验客户端传送手机号码和 xxxx 是否一致。
完善点还要加上发送短信的实效性问题。繁殖频繁发送短信和校验短信。
其他信息如用户基本资料,个人觉得从 memcache 拿出来会好一点。
session 共享可以用 memcache 来实现,也可以用 nginx 的来实现。。
个人推荐用 nginx,结合 APC 共享内存机制。可以减少服务端的压力