晚天搞到三点多,把ZF默认的目录结构做了一些修改,配置一些文件,放到SVN中
以前扯淡过一次通行证,不过当时知道的比较少,这次再扯一次,
通行证,我知道有两种,一种是cookie加密,一种是memcached做的令牌
1. cookie 小站用的比较多,问题是不支持分布,也不能解决多地登录,在不在线,还有不能放太大的数据量,毕竟每次请求都附上cookie。
2. 令牌可以解决cookie的一些问题,很多网站都在用,好处就是支持分布式,N个应用都可以自由判断用户登录没登,不好的地方的是保持不方便。
令牌一般有两组,一组只保存很少的信息:用户ID=>(登录时间,客户端IP),这个是用来快速判断。
另一组才是真正的令牌:md5(用户id+登录时间)=>其它信息,用户每次登录都会刷新这个令牌。
想过用memory表,效率太差,比较好的方法是把这两个结合起来:
在线的用户会放在memcached中,假设设置时间是60m, 过期就是不在线,可以解决在线问题。
用户本地有cookie, 如果解密成功且memcached中没有用户信息则设置,此时同一用户可以多地登录的。
如果应用程序要求比较严格,不允许多地登录,则可以用memcached中保存的客户端信息来确定当前唯一登录用户。
在线保持还会有一个效率问题,因为要刷新在线时间,保持状态,不过比较好解决,简单的就是设置长一点过期时间和随机刷新。
总体上来说:
cookie: (rc4或xxtea) 用户ID, 登录时间戳
memcache第一组:用户ID=>(登录时间,客户端IP(更严格一点可以包括浏览器信息))
memcache第二组:md5(用户id+登录时间)=>其它信息
这样做有一个很不好的地方,增加了其它应用判断是否登录的复杂度,以前只要检测memcached就可以了,现在还要检查一下cookie, 不过借助于js的还是比较容易解决。
另外,这样会有一些安全问题,比如用户改了密码以后,原来的cookie还能用,这个问题解决应该和全站安全一起考虑,用户在注册的时候随机生成的key,位数可以少一点,这个key是用来确认客户端cookie有效的,也可以用来防止跨站请求伪造,也可以md5的时候加上,形成双密码保护,功能多多。。
基于令牌的通行证
Submitted by 月黑风高 on 2009年03月15日 17:39:10. PHP
Trackbacks
 |
发表评论
| « 2010年09月 » | ||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | ||
乱七八糟
日志分类
日志归档
- 2009年05月 [1]
- 2009年04月 [1]
- 2009年03月 [1]
- 2009年02月 [7]
- 2008年12月 [3]
- 2008年10月 [1]
- 2008年09月 [4]
- 2008年08月 [4]
- 2008年07月 [3]
- 2008年06月 [2]
- 2008年05月 [7]
- 2008年04月 [5]
搜索文章
最新评论
- 不错。。
04-09 - 铃声 - 上班的时候想睡觉,不上班了反而不...
03-25 - 虚拟主机 - svn,我们公司的人都在用,做文...
03-24 - 虚拟主机 - 不错!!!
02-23 - QQ游戏 - ??有收我滴博客!
02-05 - 嘿嘿 - 一个人最自由了
12-21 - QQ游戏 - 不错。。
12-07 - 诺基亚 - 形式主义在中国是顶了天了。
09-19 - 山寨货网 - 太牛了,娶她当老婆,那就有得玩了...
08-29 - QQ下载 - 我太浮燥,老是想让生活不是上班下...
08-22 - 周杰伦
博客信息
- 分类数量: 9
- 文章数量: 39
- 评论数量: 17
- 标签数量: 7
- 附件数量: 5
- 引用数量: 1
- 注册用户: 2
- 今日访问: 1
- 总访问量: 86330
- 程序版本: 1.6
友情链接
