session实现用户登录（如何通过session实现用户登录后，在多个页面）

本文目录

• 如何通过session实现用户登录后，在多个页面
• asp.net怎么利用session对象使用户在登录页面实现登录之后,然后首页显示用户名
• php中如何使用session 来实现在一个页面**后才能访问另外一个页面
• asp网页设计中，怎么实现用户登录，并且**状态保持在当前页面，类似于这种
• 实现用户登录为什么要用session不用cookie
• 只有session能解决普通网站的用户**问题吗
• Flask博客实战 - 实现登录注册功能
• php中 用的是thinkphp模板 怎么样让用户保持在登录状态用session
• 服务端session笔记

如何通过session实现用户登录后，在多个页面

1、将数据保存在session中，不要保存着request中；
2、两种方式清除session：服务器清除 和程序员写程序清除
服务器清除
setMaxInactiveInterval() 写在 session.setAttribute()之后
配置《session-config》放在web.xml

asp.net怎么利用session对象使用户在登录页面实现登录之后,然后首页显示用户名

通过Session形式存储啊。加入在你**验证的方法中，在获取成功**哪步，加上Session=UserName;这个当前的用户名就存到名为UserNmae中去了，然后再**成功页面后，在把它取出来,加入你使用《Lable》接收并显示，就如：《asp:Lable id
="LoginIn" runat="server"》《/Lable》 在.CS文件里，LoginIn.text=Session 即可。你试一试。

php中如何使用session 来实现在一个页面**后才能访问另外一个页面

真怕你是骗分的，所以很多人不敢答，我写一个例子：
登录页面：
《?php
session_start();//在最顶端，不要有输出
$_SESSION=’abc’;//直接把用户名abc赋予test
?》
其他要登录才能看的页面：
《?php
session_start();
if(isset($_SESSION)){//如果已经登录
echo ’您已经**了，您的用户名是：’.$_SESSION;
}else{//否则
echo ’小样，没**想进来？’;
exit();//强制中断程序的执行
}
?》
如果需要注销（也就是删除session）:
《?php
session_start();
unset($_SESSION);//直接unset，或者用session里面的函数，我没试过
?》
有疑问追问，我很快就回答的

asp网页设计中，怎么实现用户登录，并且**状态保持在当前页面，类似于这种

一般用session
LoginName = request("LoginName") ’登录用户名
Password = request("Password") ’密码
然后就select 数据库是否有等于LoginName Password
如果有记录。
查询真实姓名
把姓名赋值到Session
Session("Employee_Name") = Employee_Name
，就完成了session

**的首页判断一下session是否为空，却确定该用户是否有**
if Session("Employee_Name")《》"" then
Server.Transfer "mmindex.asp"
resp***e.end
end if

实现用户登录为什么要用session不用cookie

如果你想做简单一点。那就用session。一行代码就可以保存管理员的**状态，在session有效的时间内。再次访问页面不需要重新**。 但是，这个有一个弊端。就是现在的web编程思想：轻服务器端，重客户端。也就是尽量减轻服务器端的压力（少在服...

只有session能解决普通网站的用户**问题吗

cookie也可以，用setcookie函数
setcookie ( string name )
name Cookie 的名字。 使用 $_COOKIE 调用名为 cookiename 的 cookie。
value Cookie 的值。此值保存在客户端，不要用来保存敏感数据。 假定 name 是 ’cookiename’，可以通过 $_COOKIE 取得其值。

expire Cookie 过期的时间。这是个 Unix 时间戳，即从 Unix 纪元开始的秒数。换而言之，通常用 time() 函数再加上秒数来设定 cookie 的失效期。或者用 mktime()来实现。 time()+60*60*24*30 将设定 cookie 30 天后失效。如果未设定，cookie 将会在会话结束后（一般是浏览器关闭）失效。
path Cookie 在服务器端的有效路径。 如果该参数设为 ’/’ 的话，cookie 就在整个 domain 内有效，如果设为 ’/foo/’，cookie 就只在 domain 下的 /foo/ 目录及其子目录内有效，例如 /foo/bar/。默认值为设定 cookie 的当前目录。
domain 该 cookie 有效的域名。 要使 cookie 能在如 example.com 域名下的所有子域都有效的话，该参数应该设为 ’.example.com’。虽然 . 并不必须的，但加上它会兼容更多的浏览器。如果该参数设为 www.example.com 的话，就只在 www 子域内有效。细节见 Cookie 规范中的 tail matching。
secure 指明 cookie 是否仅通过安全的 HTTPS 连接传送。当设成 TRUE 时，cookie 仅在安全的连接中被设置。默认值为 FALSE。 0 或 1

Flask博客实战 - 实现登录注册功能

上一节我们已经创建了一个用户应用，并创建了用户模型，那么我们这节就开始实现一个简单的用户登录注册功能！

登录注册功能Flask有一个非常优秀的扩展Flask-login，我们可以选择使用这个扩展来实现，但为了学习我们暂时不使用这个第三方扩展，而是选择使用session来实现！

首先，我们需要完善登录的html页面, 路径为： app/auth/templates/login.html

代码详解：

这个**模板继承了 base.html 的样式，这个 base.html 中的模块及代码其实就是我们之前实现的首页，只是我们把他作为一个模板基类来继承他！

这段代码中其实就是写了一个输入账号密码的表单，其他多余的代码都是为了实现表单的样式而存在的！

这里要特别说明的是这个input表单必须设置name属性，因为后端要根据此name属性来获取用户输入的值！其他属性则需要大家自行去了解学习！

登录功能的后端逻辑视图, 路径为： app/auth/views/auth.py

代码详解： - request.method == ’POST’ 判断当前请求是否为post请求方式 - error = None 来初始化一个错误变量，如果未通过登录验证，把错误信息通过消息传送到页面提示用户

这段代码首先在数据库通过用户提交的用户名去查询该用户，用户不存在就会返回None返回错误提示，用户存在则判断密码是否正确，这里用到了一个 check_password_hash() 的方法，这是用来将密文密码解密后与用户输入密码比对方法，与之对应的有一个 generate_password_hash() 的方法用来加密明文密码保存到数据库！

这段代码则是如果没有返回任何错误提示，说明该提交的表单符合我们的要求，并且数据库也存在该用户信息，那么我们只需要清空session，重新将session中的user_id设置为当前登录的id即可！

因此在实现登录注册逻辑之前就必须引入这两个方法：

登录功能虽然实现了，但我们数据库目前还没有任何一个用户，所以此时就应该要去实现用户的注册功能，向数据库新增用户，大概的逻辑是，用户输入用户名及两次密码，先判断该用户是否已经存在，存在则提示更换用户名，不存在则向数据库创建该用户信息，并清空session，重新设置user_id的值为注册用户的id，以达到注册成功后自动登录的目的！

首先，我们需要完善注册的html页面, 路径为： app/auth/templates/register.html

这是注册页面的html，大家自行理解下，这里着重说一个我们在视图中通过 flash() 传递出来的消息，在模板中由以下代码接收！

注册功能的后端逻辑视图, 路径为： app/auth/views/auth.py

这个注册的逻辑基本上涵盖了我们之前所有章节学到的知识点，这里就不再过多地去一一解释代码，大家可自行理解并完善注释！

通过登录和注册功能的实现，我们已经清楚地知道，用户是否登录其实是判断session会话中是否存在用户的id来决定，那么推出登录，我们只需要清除session会话中的用户id即可，这里我们直接选择清空session的方式实现推出功能！

bp.before_app_request() 注册一个在视图函数之前运行的函数，无论请求什么 URL。 都会先检查用户 ID 是否存储在会话中，并从数据库获取该用户的数据，将其存储在 g.user 上，该数据在请求期间持续。

注册完这个函数之后，我们就可以在base.html中的导航的最右侧通过g.user的返回值，判断用户是否已经登录，显示不同的信息！

对于像下一章节我们要实现的用户中心以及管理后台，则必须是带有权限的访问，最基本的权限应该是必须是登录用户，那么所以说对于那些未登录的用户我们需要拒绝访问的功能！

这个其实思路也非常简单，既然在实现模板中调用用户信息的时候，我们把当前登录的用户信息添加到了g对象，那么我们只需要判断g.user的返回值是否为None即可判断用户是否**！

到这里关于用户登录注册相关的基本权限问题我们就完成了，注意这些视图函数都在 app/auth/views/auth.py 文件中！

php中 用的是thinkphp模板 怎么样让用户保持在登录状态用session

用session记录最后一次操作，如果用户有操作则修改一下时间。在thinkphp中，你可以写一个BaseAction，让你所有的Action继承它，在它里面写一个方法用于记录你最后一次操作的时间，超过了那个时间久跳转到登录页面。

服务端session笔记

注：以下内容基于以tomcat作为web服务器

***隐藏网址*** ，用户登录成功之后，把用户信息保存到session（默认储存在服务端的内存）。对于浏览器发起的HTTP请求，可以根据session中是否存在用户信息判断用户是否登录，也方便业务逻辑中获取当前会话用户信息。

服务端创建session时，会生成JSESSIONID作为唯一标识，并将一个key为"JSESSIONID"的cookie返回给前端（前提是浏览器支持cookie），之后，根据浏览器发起请求时携带的JSESSIONID判断用户身份。

tomcat的JSESSIONID生成的机制是一个随机数加时间加上jvm的id值，jvm的id值会根据服务器的硬件信息计算得来，因此不同jvm的id值都是唯一的。

当后端显式调用request.getSession()或request.getSession(true)时，会创建session（注意：需要显式调用，spring或tomcat不会自动生成）

request.getSession()有个重载方法request.getSession(boolean create)
create为true表示，若可以根据前端cookie中的JSESSIONID找到对应的session，则返回该session，否则重新创建一个session，并把新的JSESSIONID返回给前端。
create为false表示，若可以根据前端cookie中的JSESSIONID找到对应的session，则返回该session，否则返回null。
request.getSession()等价于request.getSession(true)

***隐藏网址***
1.session默认储存在服务端内存，用户量大时占用内存多
2.需要处理session共享，用户在一台服务器登录后，集群内其他机器没有该用户的session，需要用某些方式实现session共享，并保持一致性，即同步修改所有机器的session
3.同样的数据保存在多台服务器，数据冗余
4.如果使用cookie发送JSESSIONID到服务端，则不支持跨域请求
5.如果浏览器cookie被禁用，就需要用其余方式保存JSESSIONID
6.如果session没有持久化，重启服务器后session就没了

修改负载均衡策略为按ip负载（即同一个ip只访问同一台机器），这样就绕开了session共享的问题（默认策略一般是轮询）
弊端
按ip负载策略和轮询策略，本质上是按用户负载和按请求负载，这两种策略的区别在于， 按请求负载更加均衡 ，比如A、B服务器都有20个用户，A服务器的20个用户相比B服务器更加活跃，那么A服务器的压力就更大。

集成spring-session-redis（网上很多教程），先集成redis，然后在启动类加上@EnableRedisHttpSession注解，这样操作session时，会自动把数据持久化到redis集群

tomcat 配置session复制（未做了解）

同时使用token+session，token用于接口鉴权，session用于保存用户信息。
增加一个拦截器，在找不到session时，根据token反解析出用户信息，然后存入session。
（一般公司会有统一的用户中心，提供校验token并返回用户身份的接口）
严格来说，本方案不算是session共享方案，因为不同服务端的session id不一致，每次请求不同服务器，带上来的session id在本服务器找不到，就产生新的session，直到有效期到期才销毁，严重浪费内存

1.最常见的方式: cookie
2.如果cookie被禁止，可以用URL重写技术，把session id拼接到URL中
3.在表单添加隐藏字段，提交表单时把session id传到服务端

先说结论：如果服务器是集群，且没有配置会话保持，同一个浏览器窗口的JSESSIONID就会变化
用户在A服务器登录成功后，A服务器把key为JSESSIONID的cookie返回给用户，然后携带该JSESSIONID请求B服务器，B服务器找不到该JSESSIONID对应的session，就会创建新的session，把新的JSESSIONID返回给用户。

取决于JSESSIONID的保存方式
如果保存在cookie，要看cookie有没有设置有效期，如果没设有效期，重启浏览器cookie就没了，如果设了有效期，重启浏览器cookie还在。
如果使用URL重写或表单隐藏字段的方式，要看JSESSION具体保存在哪

对于单机应用，JSESSIONID可以用于校验接口（类似于token），后端如果能根据JSESSIONID获取到对应session（即request.getSession(false)不为空），说明该请求有效。但是服务器一旦重启，用户登录就失效了，因为session放在内存中。
如果使用token做接口校验，不仅可以适用于分布式应用，后端重启也不会影响用户的登录态。