看见标题打算推荐 tumi 的，进来发现超预算了

@haiyang416 难道“只用 session 实现「记住我」一个月的功能”就能杜绝这个问题了？😢

另外，为什么 45 分钟楼主没有刷新 /访问自己的博客 session 就没了？ 以及 #24 “ session 保存登录状态，浏览器关闭就没了，每次打开浏览器都重新登录”这又是为什么？ 你确定你足够懂 session 的运行机制？

@haiyang416 为什么要” 请只用 session 实现「记住我」一个月的功能“？就因为你贴那个英文文章里建议这么做（并且没有解释原因）？

关于算法破解，你赢了，我个人破解不了 uid 为 2 的 hash😂
但是破解这个难道不是时间问题？

@haiyang416
@jugelizi

cookie 与 session 跟 安全 是八竿子打不着的关系
简单来说 cookie 是保存在浏览器中的客户信息 session 是保存在服务器端的客户信息

cookie 与 session 唯一的联系就是 一些 Web 应用容器是通过在 cookie 中设置 sessionId 的方式来实现客户与 session 的绑定的（在浏览器不支持 cookie 的情况，比如 Java 的 servlet 容器会通过重写 url 、在所有 url 后加上 jsessionid 的方式来实现客户与 session 的绑定）

至于‘登录后记住我’这种功能，其实就是一个鉴权的过程。首次登录时浏览器中的网页发送用户名和密码给服务器端，服务器完成鉴权后，发给客户一个凭证，此后的客户的访问，带着凭证来证明合法身份即可。
这个凭证理论上来说你可以选择放在 cookie 中，也可以选择放在 session 中，两种方式的安全性是一致的。但实际上如果放在 cookie 中，服务器端依然要护凭证和 cookie 的对应关系及过期时间，还不如干脆放在 session 中来得省事儿。


以上过程中有两个安全弱点。 一是鉴权过程中用户名和密码会被截获（使用 https 可破）。 二是完成鉴权后的访问中， cookie 被截获（使用 https 可破）或者被冒用（请不要把钥匙交给别人）。 显然这都不是 cookie 或 session 可以解决的问题。所以说‘ cookie 跟 session ’与‘安全‘没有关系。


至于把 userId+IP+特定 key 加密再到服务器端解，这是非常不靠谱的。我若是破解了你的加密算法，岂不是我可以想登录哪个用户就登录哪个用户？

@phx13ye 最近计划购入 new x1c ，但是只有 1080p 和 1440p 可选，让我心生退却。担心 win10 驾驭不了这样的分辨率啊。

我心目中的 linux desktop 基本定格在 ubuntu 6.06
当年 compiz 刚刚开始流行，酷炫程度胜过 vista 的 aero 我带着笔记本在图书馆引来众人围观（我的操作系统），一群非计算机相关专业的同学们纷纷表示要回去试试这个“今天还是头一次听说的叫 linux 的东西”


关于 mac
- mac 进入公众视线是 05 年 apple 宣布放弃 power pc 改用 intel 芯片后的事。彼时的人民群众对 mac 还是非常向往的，各种“把 windows 美化成 mac ” “把 linux 美化成 mac ”的教程和主题在互联网上满天飞

那个年代没几个人说过 os x 比 win 好用的原因就是当时多数人只买得起台式机，连一台华硕 /明基这种台湾品牌的笔记本都要过万，更别提惠普 /thinkpad/索尼 /mac 了。

而如今 mac 这么普及的原因就是因为随着经济发展人民收入水平有了提高的同时 mac 降价了，如今买一台 macbook 居然比买一台堪用的 thinkpad 还要便宜。

如果某天我购入了 mac ，那么一定是因为它便宜，而不是什么 unix 比 windows 更适合开发这种扯淡理由。 我常年在 linux 终端下工作，有一个 ssh 客户端就够我干活了。
另外作为半个文艺工作者，我工作中会用到的 cubase 无论在 windows 下还是 os x 下用起来都一样。所以在 12 年左右开始互联网圈广为流传“ mac 比 win 适合搞开发”的这波言论之前比较流行的“ mac 比 win 适合搞设计和音乐制作”这种言论也是扯淡。


- 无论“苹果是卖手机”的，还是“苹果不是卖手机的”，都是错误的或片面的的观点
苹果不止是个卖手机的，还是个卖电脑的
就酱

@jarlyyn 噗

@jarlyyn 恩 不放下身段去赚屌丝的钱就是这个下场


不过你以此来证明 OS X 不如 windows 是不是太牵强了？

@jarlyyn 手机厂？ 谁是手机厂？ 我假设你说的不是苹果。
苹果创立时的名字是 Apple Computers Inc.
苹果在华机构的名称是苹果电脑贸易（上海）有限公司

@kanezeng
集群环境下通常采用这两种方案之一：
- 在 load balancer 上做 sticky session ，把来自某个客户端的请求永远转发至相同的应用服务器
- 把 session 信息放在 redis/memcached 等支持高并发的缓存中
数据库虽然也可以做集中式存储，但是在高并发情况下性能会急剧下降，所以没人用它存 session

@msg7086
当然会影响速度 读取数据库要耗时间在应用服务器与数据库服务器间的网络IO、要耗数据库的CPU

#3的最大问题不在于每个请求读数据库会影响速度，而是在于业内没人这么干。
如我12楼所说，PHP和Java中都有成熟的方案，非常简单，根本不需要造一个毫无必要的轮子。

@lyragosa 6楼已给出php中集成session的成熟方案
我比较熟悉的java servlet规范中也原生预置了类似的session方案
我没看出来这些开箱可用的方案哪里“折腾”了，反而你的方案还要写额外的代码，这才是真的折腾

@lyragosa 每个请求都读数据库？
没有一个web开发的内行会这么干

@tianrunlin 有了这个也无法防止360采集搜索结果啊

28 29 30已请好假
冲绳+大阪走起

@kidult neverfull是型号 牌子本帖所有人绝对都听说过，Louis Vuitton 俗称LV或者驴

@kidult 30k为啥买不了房？ 这个收入背个12k的房贷（200万30年85折商贷）还是很轻松的。

以及 8k养房养车养老婆养孩子真的够吗？
且不说小朋友光喝奶粉一个月就要1k，养车一个月也得几百，养老婆更是费钱啊
毕竟一部新款苹果手机或一只neverfull背包就够月薪8k的人忙活大半个月了

1/2/3/4精通
5/8/10入门水平