h5开发与php

最近做一个前后端分离的项目,但是呢 又藕断丝连,具体来说说吧。

前端实现登录本来用localstorage存储相关信息,但是如何保证php端的登录以后,去web应用也登录了呢?

后来换个思路,退出的时候会清除掉cookie,登录的时候会发放一个cookie值,这样用cookie,php就不需要使用js操作localstorage了,php直接操作cookie即可。

这样简化了操作,安全性也不用担心,重要数据都在session里面存着,万一担心失效时间的问题,可以让前端去请求一个单独的session验证接口,判断用户是否处于登录状态中,这样万无一失了。

php使用js有个坏处,它需要先输出一个script 标签,如果没内容的话 就会白屏,这样 不适应我们的退出按钮,退出网页的时候 白屏影响体验,后面换成cookie以后好很多。

既然聊到cookie和session多聊几句。

session 用来维持会话,默认客户端用cookie保持session名称,当然也可以使用url方式传递session名称,1以维护用户的会话,因为http协议是无状态的协议。但是这样也有风险,用户被js钓鱼,cookie被重定向到黑客那里,黑客伪造用户身份,访问相关资源。

我们可以防范的是 校验ip+session,或这客户端传过来的浏览器头信息与ip绑定,多进行一次校验,还可以在设置cookie的时候 设置httponly,这样可以防止cookie盗取,身份冒用的情况。


cookie是用户本地浏览器存储,可以被用户随意修改,是不安全的,同时每次与服务端请求的时候会带上这个cookie,如果cookie过大 会影响传输效率。