简聊 Session 与 Token 身份验证

前言

当我们账号密码登陆以后，如何确保用户认证是我们每一个phper都会遇到的问题，从最开始的Session 到 Token ，让我们带着求知欲了解一下它。

Session时代

Web开发使用Http协议，HTTP协议最初是匿名的，无状态的请求/响应协议。这样简单的设计可以使HTTP协议专注于资源的传输（HTTP是超文本传输协议）;随着WEB的发展，业务需要确定客户端的唯一性，引入session会话这个概念。PHP设置session 整个过程如下，我们一步一步探究其中，服务器采用的LNMP：
file

1. 发送请求。
请求http://test.com:8080/index.php。

2. 开启session，并根据php.ini配置保存session。

首先我们在服务端代码开启Session (因php.ini并没有默认开启，需程序开启)

// 开启session
session_start();
// 设置session的值，稍后测试给该是否能取出
$_SESSION['name'] = 'phper';
echo 'weclome to session start!';

然后查看php.ini中session保存的路径，默认文件保存的话，保存路径为/tmp，文件名为默认为sess_{session_id}。主要查看以下参数参数：
session.save_handler = files
下来我们登陆服务器查看/tmp目录下的查看该Session文件。即sess_689u7fiqejt70dujb9uk44eq79文件。(此处可能会有疑问,我们是怎么知道session_id = 689u7fiqejt70dujb9uk44eq79?再次先埋一处伏笔。)

3. 查看本次请求，服务器响应头携带session_id信息。
file
查看响应头信息，就是在此处知道了session_id = 689u7fiqejt70dujb9uk44eq79。因此才会有在步骤2中查看文件。其中path=/指的是cookie储存浏览器的位置。浏览器将session_id保存在客户端本地，存在cookie。如下图所示：
file

4.再次发送请求，请求头携带session_id请求服务端
我们只需再次请求http://test.com:8080/index.php，浏览器会在请求头中携带着这个保存session_id的cookie去请求服务端。我们查看请求头中即可看到：
file
5.校验session_id来确认客户端身份
该操作是php的session机制来完成的。我们可以检测以下看是否能取出刚才设置的$_SESSION['name']就可验证。

我们修改index.php代码如下：

// 开启session
session_start();
// 设置session的值，稍后测试给该是否能取出
echo $_SESSION['name'];

我们再次请求http://test.com:8080/index.php，请求头中以及携带着session_id信息：
我们换一个PostMan模拟非法请求看是否能获取到$_SESSION['name']内容？是无法获取到信息。
尝试，我们在PostMan中把前面的cookie=689u7fiqejt70dujb9uk44eq79携带到请求头看是否能获取到信息？是可以获取到信息。