Bagaimana untuk menguruskan sesi tanpa menggunakan kuki di PHP?

Ya, dengan mengkonfigurasi PHP untuk menulis semula ID sesi menggunakan URL (seperti membolehkan session.use_trans_sid), secara manual lulus session_id dalam permintaan, atau membina sistem sesi berasaskan token (seperti menggunakan token rawak pangkalan data), anda boleh menguruskan sesi dalam persekitaran yang bebas cookie, tetapi anda perlu mencegah pencegahan dan anda yang diperbetulkan. Adalah disyorkan untuk bekerjasama dengan HTTPS dan menyegarkan token selepas log masuk.

Menguruskan sesi tanpa kuki dalam PHP adalah mungkin dengan lulus pengecam sesi melalui URL atau secara manual dalam permintaan. Walaupun PHP bergantung pada kuki secara lalai untuk menyimpan ID sesi (seperti phpsessId ), anda boleh mengkonfigurasi ia berfungsi tanpa mereka. Inilah caranya.

Gunakan ID sesi dalam URL

PHP boleh menyebarkan ID sesi melalui parameter URL dan bukannya cookies. Ini dipanggil Sesi ID URL Rewriting.

• session.use_cookies = 0 -Melumpuhkan penyimpanan sesi berasaskan cookie.
• session.use_only_cookies = 0 - Membolehkan ID sesi dalam URL.
• session.use_trans_sid = 1 - Membolehkan penyebaran ID sesi telus dalam URL.

Contoh konfigurasi dalam php.ini atau melalui ini_set () :

Selepas membolehkan, hubungi session_start () , dan PHP secara automatik akan menambahkan ID sesi ke pautan relatif menggunakan SID (misalnya, page.php? PhpsessId = ABC123 ).

ID sesi lulus secara manual atas permintaan

Anda boleh menjana dan lulus ID sesi secara manual dalam bentuk, rentetan pertanyaan, atau tajuk.

• Mulakan sesi dan dapatkan id: $ sid = session_id ();
• Sertakan ID dalam pautan: teruskan
• Pada halaman seterusnya, tetapkan ID Sesi sebelum memulakan: session_id ($ _ get ['sid']); session_start ();

Ini memberikan kawalan penuh tetapi memerlukan pengendalian yang teliti untuk mengelakkan penetapan sesi atau pendedahan.

Sisi pelayan sesi, mengenal pasti melalui Token

Gunakan mekanisme sesi tersuai di mana anda menghasilkan data sesi token dan stor yang unik dalam fail, pangkalan data, atau cache (seperti Redis), memetakan setiap token ke data pengguna.

• Buat token: $ token = bin2hex (random_bytes (32));
• Data sesi stor dalam pangkalan data yang dikemukakan oleh $ token .
• Lulus token dalam URL atau data pos.
• Dapatkan data menggunakan token pada setiap permintaan.

Ini mengelakkan sistem sesi terbina dalam PHP sepenuhnya dan memberikan lebih banyak fleksibiliti dan kawalan keselamatan.

Perlu diingat bahawa ID sesi lulus dalam URL mempunyai kelemahan: mereka boleh dibocorkan dalam tajuk perujuk, sejarah penyemak imbas, atau log. Sentiasa gunakan HTTPS dan pertimbangkan token regenerasi selepas log masuk.

Pada asasnya, anda boleh menguruskan sesi tanpa kuki dengan menulis semula URL, melewati ID secara manual, atau membina sistem berasaskan token tersuai. Hanya mengendalikan keselamatan dengan teliti.

Atas ialah kandungan terperinci Bagaimana untuk menguruskan sesi tanpa menggunakan kuki di PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!