如果会话存储在 proc 中
用户登录,直接关闭浏览器,一小时后重新打开。他需要重新登录吗?
如果会话存储在状态服务器中并且情况相同,那么会发生什么?
【问题讨论】:
当一个会话被创建时(假设它是一个普通会话),一个 cookie 被发送到浏览器,看起来像这样:
SESSION_ID=437b930db84b8079c2dd804a71936b5f
如果会话标识符(在上面的示例中,437b930db84b8079c2dd804a71936b5f)作为请求参数而不是 cookie 被传递,则可以在没有 cookie 的情况下使用会话;然而,这并不常见,通常被认为是不好的做法。
所有会话信息都存储在服务器端,会话标识符在幕后用于决定应为每个请求调用哪组信息(如果有)。因此,我们会回答您的问题。
- 如果 Web 应用程序使用 cookie 并且在用户浏览器上启用了 cookie...
如果网络应用程序使用 cookie 并且在浏览器上启用了 cookie,那么应该没有问题。但是,使用标准会话实现,cookie 将是非持久的,因此如果用户完全关闭浏览器的所有实例,则需要再次登录。
- 如果 Web 应用程序使用持久性 cookie 并且在用户浏览器上启用了 cookie...
如果会话 ID 存储在持久性 cookie 中,并且用户的浏览器通过将会话标识符 cookie 持久保存到磁盘来尊重这一点,那么即使浏览器完全关闭并重新启动,会话标识符也会被发送。但是,请注意,大多数 Web 框架都有一个类似垃圾收集器的系统,该系统会删除在一定时间内显示任何活动的会话的数据。因此,例如,假设我的网站需要至少每 4 小时进行一次活动以保持会话处于活动状态。如果我登录,收到一个带有我的会话 ID 的持久 cookie,关闭我的浏览器,并在 5 小时后返回,那么我将需要再次登录,因为即使我的会话 ID cookie 是持久的,我的会话信息也会从服务器中清除.
- 如果 Web 应用程序使用 cookie 并且 cookie 在用户浏览器上被禁用...
坏消息熊。您需要找到一种方法来使用无 cookie 会话(将标识符作为每个请求的参数传递),或者您需要要求用户启用 cookie。没有办法解决这个问题。
- 如果 Web 应用程序使用持久性 cookie 并且 cookie 在用户浏览器上被禁用...
与#3 相同的情况。如果用户禁用了 cookie,那么您就不走运了。他们要么需要启用 cookie(至少对于您的网站),要么您需要找到另一种方式在请求之间传递信息。
【讨论】:
会话存储在服务器内存中(除非使用状态服务器或持久存储),但依赖于 cookie 来识别会话。如果 cookie 不可用,则会话将无法工作,因为无法识别用户。无 Cookie 会话可用于解决此问题。不建议使用无 Cookie 会话,因为它们可能会被 url 中的会话标识符劫持。
如果 cookie 没有设置过期时间,那么一旦用户关闭所有浏览器实例(它们共享内存),它就会丢失,而不仅仅是通过网站访问的那个。
如果用户禁用了 cookie,则应用程序无法使用 cookie。现在人们不再像 90 年代后期那样担心 cookie(许多“安全”人士提出警告,cookie 可用于在您的计算机上存储各种东西,甚至是病毒)。
【讨论】: