我正在为我正在处理的项目设置各种身份验证方法,Google 和 Facebook 使用的通用 OAuth 2.0 框架看起来非常棒。阅读Facebook 给出的例子,我偶然发现了一些对我来说似乎很奇怪的东西。
如果您查看该 facebook 页面的底部,您可以看到 PHP 中的示例。在他们的过程中,他们首先将一个随机字符串设置为 $_SESSION['state'],然后将用户重定向到 facebook 身份验证页面,然后将用户发送回原始页面,在那里他们将状态字符串与假定存储的内容进行比较在会话变量中。也许我在这里遗漏了一些东西,但是如果用户离开您的网站,您不会丢失所有会话数据吗?这是如何运作的?即使您离开网站,您的会话数据如何维护?