如果几个网站的域名不相同,session数据如何共享?
如果几个域名属于同一个域名下面的二级域名,可以通过设置session的domain。但如果几个网站域名压根就不相同,发现有一个函数session_id,可以用来重新设置当前session的id。
以易软网站 + 签名网站 举例:
1. 登录都是到http://www.1zsoft.com/register.php。
2. 签名网站www.91qm.com 的登录程序将form的action指向到上面的地址,将用户名和密码传递到1zsoft.com的这个登录程序。
3. 当1zsoft.com的登录程序验证之后,根据具体网站的需要登记不同的session。
4. 取得当前1zsoft.com session的id,session_id()不加任何参数就可以了。
5. 然后将页面跳转回www.91qm.com。但在后面附加一个参数sid=xxxx。后面的值就是第4步中取回的session_id。
6. 修改签名网站的程序,如果发现有sid传递近来,就在session_start() 之前,调用session_id($sid),将签名网站当前会话的id指向到1zsoft.com的会话id。
这样就实现了在www.1zsoft.com和www.91qm.com之间的session共享。
实现的原理:
session具体的数据存储都是在服务器上面的,可能是文件,也可以是数据库。每一个客户端的会话都会有一个sessionid。这个id就相当于一个key,通过这个key,就可以映射到具体的存储路径。不管网站的域名如何,只用使用的sessionid相同,它们所使用的session数据也就相同了。
这样安全吗?
应该讲和起传统的登录验证安全性一样。都是不太安全的。因为sid的传输是没有加密的,别人也可以通过监听,嗅探来获取这个sid,也就获取了你的session数据。因此后面可以考虑将sid信息加密之后进行传输。