跨站之间session共享的机制

如果几个网站的域名不相同，session数据如何共享？

如果几个域名属于同一个域名下面的二级域名，可以通过设置session的domain。但如果几个网站域名压根就不相同，发现有一个函数session_id，可以用来重新设置当前session的id。 

以易软网站 + 签名网站 举例：

1. 登录都是到http://www.1zsoft.com/register.php。
2. 签名网站www.91qm.com 的登录程序将form的action指向到上面的地址，将用户名和密码传递到1zsoft.com的这个登录程序。
3. 当1zsoft.com的登录程序验证之后，根据具体网站的需要登记不同的session。
4. 取得当前1zsoft.com session的id，session_id()不加任何参数就可以了。
5. 然后将页面跳转回www.91qm.com。但在后面附加一个参数sid=xxxx。后面的值就是第4步中取回的session_id。
6. 修改签名网站的程序，如果发现有sid传递近来，就在session_start() 之前，调用session_id($sid)，将签名网站当前会话的id指向到1zsoft.com的会话id。

这样就实现了在www.1zsoft.com和www.91qm.com之间的session共享。

实现的原理：

session具体的数据存储都是在服务器上面的，可能是文件，也可以是数据库。每一个客户端的会话都会有一个sessionid。这个id就相当于一个key，通过这个key，就可以映射到具体的存储路径。不管网站的域名如何，只用使用的sessionid相同，它们所使用的session数据也就相同了。

这样安全吗？

应该讲和起传统的登录验证安全性一样。都是不太安全的。因为sid的传输是没有加密的，别人也可以通过监听，嗅探来获取这个sid，也就获取了你的session数据。因此后面可以考虑将sid信息加密之后进行传输。 

转载于:https://www.cnblogs.com/yuanlei347/archive/2009/07/13/1522446.html