编辑“︁PHP无状态会话”︁

= PHP无状态会话 =

== 介绍 ==
'''PHP无状态会话'''（Stateless Sessions）是指Web服务器在处理HTTP请求时不依赖服务器端存储的会话状态信息。HTTP协议本身是无状态的，这意味着每个请求都是独立的，服务器默认不会记住之前的请求信息。在PHP中，可以通过特定技术（如Token或客户端存储）实现无状态会话管理，这与传统的基于服务器存储的会话（如PHP的<code>$_SESSION</code>）形成对比。

无状态会话的优势包括：
* 更好的可扩展性（服务器无需维护会话状态）
* 适用于分布式系统（如微服务架构）
* 减少服务器资源占用

== 工作原理 ==
无状态会话的核心思想是将会话数据存储在客户端（如Cookie或Token中），而不是服务器端。服务器通过验证客户端提供的会话数据来识别用户状态。

<mermaid>
sequenceDiagram
    participant Client
    participant Server
    Client->>Server: 请求登录（含凭证）
    Server->>Client: 返回Token（如JWT）
    Client->>Server: 后续请求（携带Token）
    Server->>Client: 验证Token并返回响应
</mermaid>

== 实现方法 ==

=== 使用JWT（JSON Web Token） ===
JWT是一种流行的无状态会话实现方式。以下是一个PHP示例：

<syntaxhighlight lang="php">
<?php
// 生成JWT
use Firebase\JWT\JWT;

$key = "example_key";
$payload = [
    "user_id" => 123,
    "username" => "john_doe",
    "exp" => time() + 3600 // 1小时后过期
];

$jwt = JWT::encode($payload, $key);
echo "生成的Token: ".$jwt;

// 验证JWT
try {
    $decoded = JWT::decode($jwt, $key, array('HS256'));
    print_r($decoded);
} catch (Exception $e) {
    echo '验证失败: ', $e->getMessage();
}
?>
</syntaxhighlight>

'''输入/输出示例：'''
<pre>
生成的Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsInVzZXJuYW1lIjoiam9obl9kb2UiLCJleHAiOjE2ODA3MjQwMDB9.8nL7r7s3hKjK6v8xYyZzAaBbCcDdEeFfGgHh
stdClass Object
(
    [user_id] => 123
    [username] => john_doe
    [exp] => 1680724000
)
</pre>

=== 使用签名Cookie ===
另一种方法是将会话数据存储在Cookie中并添加签名防止篡改：

<syntaxhighlight lang="php">
<?php
function setSignedCookie($name, $data, $secret) {
    $data['signature'] = hash_hmac('sha256', json_encode($data), $secret);
    setcookie($name, base64_encode(json_encode($data)), time()+3600, '/');
}

function verifySignedCookie($name, $secret) {
    if (!isset($_COOKIE[$name])) return false;
    $data = json_decode(base64_decode($_COOKIE[$name]), true);
    $signature = $data['signature'];
    unset($data['signature']);
    return hash_hmac('sha256', json_encode($data), $secret) === $signature 
        ? $data : false;
}

// 使用示例
$secret = 'my_secret_key';
setSignedCookie('user_session', ['user_id' => 123, 'username' => 'john'], $secret);
$sessionData = verifySignedCookie('user_session', $secret);
print_r($sessionData);
?>
</syntaxhighlight>

== 数学基础 ==
无状态会话的安全性依赖于加密签名算法。HMAC-SHA256的签名过程可以表示为：

<math>
\text{签名} = \text{HMAC-SHA256}(\text{消息}, \text{密钥})
</math>

验证时重新计算签名并与接收到的签名比较：

<math>
\text{验证结果} = \begin{cases}
\text{true} & \text{如果 } \text{HMAC-SHA256}(\text{消息}, \text{密钥}) = \text{接收到的签名} \\
\text{false} & \text{其他情况}
\end{cases}
</math>

== 实际应用场景 ==
1. '''单点登录(SSO)系统'''：用户在一个系统登录后，其他关联系统无需再次登录
2. '''移动应用API'''：移动端应用与后端服务的无状态通信
3. '''微服务架构'''：服务之间不需要共享会话状态

=== 电商平台案例 ===
一个电商平台可能这样使用无状态会话：
1. 用户登录后获得JWT
2. 每次请求商品列表或下单时携带该Token
3. 服务器验证Token并获取用户ID处理请求
4. 无需在服务器存储会话数据

== 安全考虑 ==
* '''Token过期'''：设置合理的过期时间（<code>exp</code>声明）
* '''敏感数据'''：不要在Token中存储密码等敏感信息
* '''HTTPS'''：必须使用HTTPS传输Token/Cookie
* '''签名验证'''：严格验证签名防止篡改

== 与传统会话比较 ==
{| class="wikitable"
|-
! 特性 !! 无状态会话 !! 传统会话
|-
| 服务器存储 | 不需要 | 需要
|-
| 扩展性 | 高 | 低
|-
| 实现复杂度 | 中 | 低
|-
| 适用场景 | 分布式系统 | 单服务器应用
|}

== 最佳实践 ==
1. 对于高流量网站优先考虑无状态会话
2. 使用成熟的库（如firebase/php-jwt）
3. 定期轮换加密密钥
4. 实现Token撤销机制（黑名单）

== 参见 ==
* [[PHP会话管理]]
* [[RESTful API设计]]
* [[Web应用安全]]

[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP会话与cookie]]