跨站之间session共享的机制

2007-09-26 13:25:17
chunsheng.wang
转贴 10621

周末在搞几个网站之间的统一用户管理功能。发现了一个很棘手的问题,就是如果几个网站的域名不相同,session数据如何共享?

如果几个域名属于同一个域名下面的二级域名,还好办一些,可以通过设置session的domain。但如果几个网站域名压根就不相同,就比较麻烦了。

还是翻php的参考手册,后面发现有一个函数session_id,可以用来重新设置当前session的id。 于是问题就简单了。

以易软网站 + 签名网站 举例:

1. 登录都是到http://www.1zsoft.com/register.php。
2. 签名网站www.91qm.com 的登录程序将form的action指向到上面的地址,将用户名和密码传递到1zsoft.com的这个登录程序。
3. 当1zsoft.com的登录程序验证之后,根据具体网站的需要登记不同的session。
4. 取得当前1zsoft.com session的id,session_id()不加任何参数就可以了。
5. 然后将页面跳转回www.91qm.com。但在后面附加一个参数sid=xxxx。后面的值就是第4步中取回的session_id。
6. 修改签名网站的程序,如果发现有sid传递近来,就在session_start() 之前,调用session_id($sid),将签名网站当前会话的id指向到1zsoft.com的会话id。

这样就实现了在www.1zsoft.com和www.91qm.com之间的session共享。

实现的原理:

session具体的数据存储都是在服务器上面的,可能是文件,也可以是数据库。每一个客户端的会话都会有一个sessionid。这个id就相当于一个key,通过这个key,就可以映射到具体的存储路径。不管网站的域名如何,只用使用的sessionid相同,它们所使用的session数据也就相同了。

这样安全吗?

应该讲和起传统的登录验证安全性一样。都是不太安全的。因为sid的传输是没有加密的,别人也可以通过监听,嗅探来获取这个sid,也就获取了你的session数据。因此后面可以考虑将sid信息加密之后进行传输。 

评论列表
xlight 2007-10-02 00:31:02
恩,真是长知识了
chunsheng.wang 2007-09-28 21:15:08
其实登录也可以实现安全的。https是一种解决方案。如果没有https,也可以使用js客户端对用户名和密码,再加上salt,使用md5或者其他的哈希算法之后,传递到服务器。然后服务器加以验证。这样就可以很安全了。
xLight 2007-09-26 15:06:14
密码还是明文传递呢,session就无所谓了吧
1/1
发表评论
评论通过审核后显示。