使用cookie做用户登录的过程详解

不管是游戏，还是网站，最基本的功能，就是用户注册登录。

或许，我们做过多次用户的登陆注册的功能，但我们是否想过，为什么要实现用户的登录。用户怎样做才算登录成功。

对用户而言，登录后，就有了他的一片“天地”，例如，登录CSDN后，就可以管理自己的博客，否则，你没有权利管理。关于是否登录成功的问题，在用户看来，如果用户名和密码输入成功，就算登入成功，否则，登录不成功。

但这一切，在程序中是怎样实现的呢？在程序中，怎样判定这个用户处于登录状态，怎样判断用户是否有权利访问某个URL，例如管理自己的博客。

为了搞清楚上面的问题，需要我们了解的一个知识点是，HTTP协议实际上是无状态的，非持久连接。也就是说，你第二次通过某个浏览器访问WEB应用，他其实不知道你已经来过一次了。

这里，有一个问题就是，我们的需求是需要知道用户“是否登录”了，即当这个用户登录后，第二次访问的服务器的时候，服务器需要知道请求是来自同一个用户，可是，由于HTTP协议是无状态的，服务器无法知道两次访问是不是来自同一个人。

这里就使用到COOKIE技术了，使用COOKIE可以解决以上问题，让服务器知道用户是否登录。

cookie是什么？
cookie是一个文本文件，保存在客户端硬盘中（如果设置了cookie的过期时间），或者在用户的浏览器内存中(如果cookie是临时的)。这个文件对用户来说，是透明的，你可以通过浏览器工具来查看当前的cookie，可能不止一个。

cookie是什么时候被保存在浏览器中的？

这个问题很重要，浏览器的cookie值不会凭空产生。它是服务器端给客户端的。如果用户浏览器支持COOKIE，使用下面一段代码就可以创建COOKIE。

setcookie($name, $value, $expire, $path, $domain, $secure)

$path: 表示cookie在服务器端的指定路径，如果不设置，则路径为目录，服务器中的所有脚本都可以访问到

$domain: 表示这个cookie所属的域，cookie是不能跨域访问的。

例如：

setcookie('xxx', 'yyyyyyyyyyyyy');

当 用户第一次访问这段程序的时候，setcookie函数会生成cookie文件，并保存在浏览器的response Header，注意，这个时候，如果访问服务器中的全局数据$_COOKIE，会发现这个数组为空。此时，客户端还没有把cookie信息传到服务器端。

浏览器还没有保存这个cookie

当第二次访问这个页面的时候，这个时候，浏览器会自动把cookie信息传到服务器端(如果这个cookie没有过期的话)。这样，服务器才保存了这个cookie。

服务器中，如果获取到这个cookie值？

在PHP中，任何从客户端传过来的cookie都可以保存在$_COOKIE这样的全局函数中。在服务器端，可以通过这个数组来访问cookie的信息。记住，第一次读取它的信息的时候，并不会生效。原因就是我上面说的。

那么我们怎么利用cookie实现用户登陆呢？

流程图：

使用COOKIE保存用户的TOKEN值。这样，服务器会读取保存在$_COOKIE数组里面的信息判断用户是否登陆。

代码展示：

登陆时，当用户输入正确的用户名和密码后，需要调用下面的代码：

    /**
     * 刷新 userToken
     *
     * @param int $uid
     * @param string $userToken
     * @param int $expires
     * @throws Core_Exception_Logic
     * @return void
     */
    private function _refreshUserToken($uid, $userToken = null, $expires = null)
    {
        // 生成新的TOKEN值
        if (! $userToken) {
            $userToken = self::genUserToken($uid);
        }

        // 更新玩家的TOKEN
        if (! Dao('Share_UserIndex')->updateUserToken($uid, $userToken)) {
            throws(_('登陆失败，请稍候再试'));
        }

        // 设置用户凭证到 cookie
        $this->_setUserCookie($userToken, $expires);
    }

为什么登陆成功后，都要更新用户的TOKEN值呢？

防止，如果用户A的token值一直都更新，被用户B窃取，这样，用户B伪造COOKIE，如使用浏览器直接添加一个COOKIE，这样可以直接登陆用户A的账号，绕过了用户名和密码的验证。

第二，就是保证一个账号只能是一个用户登陆。

在控制器的入口处检查用户是否登陆：

abstract class Controller_Abstract extends Core_Controller_Web
{
    /**
     * 构造函数
     */
    public function init()
    {
        // 获取当前已登录用户 userIndex
        if (! $this->_userIndex = $this->_auth->getUserByToken()) {
            $this->_checkAuth && $this->vRedirect('/auth/login');
        }

        // 如果已登录
        if ($this->_userIndex) {

            // 实例化一个玩家实例
            $this->_user = new Model_User($this->_uid);
        }

    }
}

其中 getUserByToken()函数就是根据保存在COOKIE里面的token值来查找用户，如果查找到，说明这个用户已经登陆，否则未登陆。

    /**
     * 获取当前已登录用户信息
     *
     * @return false/array
     */
    public function getUserByToken()
    {
        // 获取用户的标识符
        if (! $userToken = F('Cookie')->get(self::$cookieName)) {
            return false;
        }

        // 根据相应的userToken 查找用户
        return Dao('Share_UserIndex')->getUserByToken($userToken);
    }

注意一点：在登陆的时候，除了使用cookie保存以外，还可以使用session，但是，为什么我们还少使用session做登陆注册呢，因为session的值是保存在服务器中的，在一些大型的应用中，服务器可能不止一台，所以，无法知道，用户注册的session保存在哪台服务器上。

但是，记住一点就是，session可以保存在memcached中。这里需要修改PHP.INI配置文件。