Gestion de session dans les cookies
- François
Et voilà sur le même thème un petit billet en français pour les non anglophones.
Nous avons libéré sur github une petite classe qui installe un gestionnaire de session personnalisé. Sa particularité est de stocker les données de session dans un cookie chiffré.
L’intérêt est que nous n’avons plus besoin de partager les sessions entre serveurs si nous avons plusieurs frontaux.
Le chiffrement permet d’éviter toute modification par l’utilisateur du contenu du cookie. Le chiffrement par défaut utilise la paquet pear Crypt_Blowfish.
Son utilisation est très simple, on utilise toujours les fonctions habituelles de gestion de session (session_start()
, session_destroy()
, etc.). La seule exigence est de fermer la session en écriture juste avant la sortie HTML/whatever.
// just include session class
require_once 'session.php';
require_once 'Crypt/Blowfish.php'; // pear package, only needed when using SessionInCookie_DefaultCipher
SessionInCookie::setCipher(new SessionInCookie_DefaultCipher('mysecretkey'));
// start session normally
start_session();
// Read and write in session
$_SESSION['foo'] = 'bar';
// juste before output, call session_write_close
session_write_close();
// WARNING: now session data have been send to the client via encrypted cookie. You *CANNOT* write on $_SESSION.
echo 'Hello Word';
Vous pouvez retrouver le code sur le dépot session-cookie. L’utilisation est décrite dans le README.
Have a comment? Contact me by email.