问题标签 [session-cookies]

我有一个使用相当常见的身份验证方案的 PHP 站点。

• 整个登录区域都需要 ssl。
• 用户输入他们的用户名和密码，如果它们与数据库匹配，则会启动一个会话并为它们设置一个值。
• 如果他们尝试访问需要身份验证的页面，它会检查该值是否存在于会话中，如果不存在，则将它们转发到登录页面。

我们总是遇到一些人在登录时遇到问题，因为他们没有设置为使用会话 cookie，或者他们在存储转发页面的缓存中存在问题等。

然而，最近，我们有很多人使用 IE 无法登录。修复他们的会话 cookie 设置并清除缓存无济于事，但如果他们在同一台计算机上使用 firefox/opera，他们可以登录。我很确定这是 IE 的问题，而不是介于两者之间的问题。

有谁知道最近对 IE 7 所做的任何会影响会话 cookie 的更改？

更新：

我最近确实在登录后立即实现了 session_regenerate_id() 调用，因为现在在某些情况下，用户可能有一个将要使用的现有会话，但那是很久以前的事了。

是否有任何理由（安全性？）为什么有人应该重命名ASP.NET 会话 Cookie 名称，或者它只是 ASP.NET 的一个毫无意义的选项？

我们在应用程序中有一个简单的性能测试流程。

1. 我们登录
2. 根据某些条件进行搜索
3. 重复搜索不同的参数。

我们正在使用 Jmeter 进行性能测试。我们需要运行多个线程来以可扩展的方式对此进行测试。

我们目前安排的方式是：

所以基本上我们在计划级别有汇总返回表和报告，而 cookie 管理器在线程组级别。

当我运行一个线程时，它运行良好并且完成得很好。当我将它扩展到多个线程时，一旦下一个线程开始，最后一个线程的会话就会失效。由于新生成的线程，这会导致所有已经运行的线程失败。

我通过观察得出了这个结果：
1. 如果我运行多个线程，则只有最后一个线程在结果摘要树中得到有效响应
2. 如果我使用 2 个线程运行，上升周期为 10 秒，这意味着每个线程都有时间完成本身，然后它们都成功运行。

根据我的理解，每个线程登录到应用程序并且由于 cookie 管理器处于线程级别，因此将分别为每个线程的会话 ID 维护值？但是是什么导致线程之间的会话 id 值被覆盖？

任何帮助都感激不尽。

是否可以从会话 cookie 实例化会话？我有一个场景，其中（由于管道）我有可用的 cookie，但我的 ASP.NET Http Context 尚未构造 Context.Session 对象。我可以手动执行此操作，以某种方式引用 cookie 或其内容吗？

I have never wanted to allow a user to stay logged in for any length of time so I never saw a use for a "remember me" feature. I started thinking about how it's done though and would like some clarification.

I'm currently storing my sessions in a database. What has always perplexed me was how, even though I do not explicitly set a cookie, one is placed in my browser. I'm a little confused because a session is a session and a cookie is a cookie. I don't see how a session sets a cookie.

I'd also like to know if, simply setting another session variable in the session array to keep the user logged in, would be sufficient or would I still need to set a cookie?

我在我的开发机器上运行一个 ASP.NET 网站（Vista/IIS7 上的 .NET 2.0）。global.asax.cs 中的 Session_Start 方法记录对文件 (log4net) 的每次调用。Session_End 方法还会记录每个调用。

我正在使用 InProc 会话状态，并将会话超时设置为 5 分钟（以避免等待 20 分钟）。

我访问了网站，等待 5 分钟，我看到了 Session_End 日志记录。然后我 F5 网站。浏览器仍然拥有会话 cookie 并将其发送到服务器。调用 Session_Start 并使用相同的会话 id 创建一个新会话（顺便说一句：我需要它是相同的会话 id，因为它用于在数据库中存储数据）。

结果：每次我在以前结束的会话上按 F5 时，都会调用 Session_Start 方法，执行请求并立即调用 Session_End 方法。

当我打开不同的浏览器时，Session_Start 方法只被调用一次。然后 5 分钟后 Session_End 每个 F5 导致 Session_Start/request/Session_End 序列执行。

web.config 相关部分：

我们有 2 台网络服务器，一台安全的，一台正常的。

是否可以设置这样的cookie

在哪里

凯尔

我有一个使用 cookie 进行身份验证的 iphone（基于 jqtouch）网络应用程序。使用流程如下：

• 用户转到移动登录页面，并被指示将该页面保存为主页上的书签。

• 他们启动小书签以转到登录页面以登录并获取 cookie。

• cookie 有效，他们可以浏览整个网站。

• 但是，此会话 cookie 不是持久的。如果他们离开 safari，然后使用保存的书签重新启动，则在他们上一次会话期间设置的 cookie 将消失。

• 只需使用 safari（即：直接启动 safari 而不是通过书签）来导航页面就可以正常工作（即：启动 safari，转到 url，登录，重新启动 safari，返回 url）。

• 我发现创建小书签时处于活动状态的 cookie 是持久的，但是在通过小书签访问 safari 时会话期间设置的任何 cookie 都不是持久的。

• 我想知道这是否是 safari/iphone 问题和/或是否有任何解决方法。非常感谢您提供的任何见解。

我正在尝试使用Perl和WWW::Mechanize自动登录网站。

我要做的是：

登录有效，但是当我加载页面时，它告诉我我没有连接。

您会看到我将 cookie 存储在一个文件中。现在，如果我在没有登录部分的情况下重新启动脚本，它表示我已连接......

有人理解这种奇怪的行为吗？

编辑：事实上，我注意到某些平台上的某些网络浏览器也会出现问题。页面显示“未登录”。但是，重新加载要登录的页面就足够了。

在脚本中，我尝试进行双重获取，但效果并不好。唯一的方法是启动它两次。

当我两次执行最后一个请求时，它与curl一起工作。

我知道我可以为 cookie 设置过期日期，但是我可以让 cookie 在一段时间后或浏览器关闭时过期吗？