在 Laravel 的配置文件 config/session.php 中可以设置 Session Cookie Name，比如这个项目中设置名称为“sns_session”：

/*
|--------------------------------------------------------------------------
| Session Cookie Name
|--------------------------------------------------------------------------
|
| Here you may change the name of the cookie used to identify a session
| instance by ID. The name specified here will get used every time a
| new session cookie is created by the framework for every driver.
|
*/
 
'cookie' => 'sns_session',

我们可以看到刷新页面，查看 cookie，会发现一个名称为 sns_session 的 cookie，名字就是我们自定义的。

这个 sessionid 就是 cookie 和 session 联系的桥梁，服务器通过这个 sessionid 判断来自哪个客户端的请求。

Laravel 的 sessionid 每次发生变化

但是，每次刷新页面，这个 cookie 值都会发生改变！那么这样服务器如何保持会话呢？因为你的 sessionid 总是在变。

我们在 vendor/laravel/framework/src/Illuminate/Session/Store.php 的 save 方法中调试一下，打印一下这里的调用栈：

/**
 * {@inheritdoc}
 */
public function save()
{
    $this->addBagDataToSession();
 
    $this->ageFlashData();
 
    $this->handler->write($this->getId(), $this->prepareForStorage(serialize($this->attributes)));
 
    $this->started = false;
 
    dd(debug_backtrace(DEBUG_BACKTRACE_PROVIDE_OBJECT,5));
}

每次刷新页面，这个 Store 对象的 id 属性其实是没有变化的，这个属性就是 sessionid 这个 cookie 的值。也就是说，sessionid 的值并不是每次发生变化，而是写 cookie 的时候，值发生了变化。

Laravel 对 cookie 进行加密

在 vendor/laravel/framework/src/Illuminate/Cookie/Middleware/EncryptCookies.php 中的 encrypt 方法找到了原因，这个中间件对所有 cookie 值进行了加密处理，它被包含在 web 中间件。

protected function encrypt(Response $response)
{
    foreach ($response->headers->getCookies() as $cookie) {
        if ($this->isDisabled($cookie->getName())) {
            continue;
        }
 
        $response->headers->setCookie($this->duplicate(
            $cookie, $this->encrypter->encrypt($cookie->getValue())
        ));
    }
    return $response;
}

而这种加密方式是每次加密的结果都不同，所以表现为 sessionid 的值每次都发生了变化，而实际上并没有改变。在需要用到这个 cookie 的时候会被解密回去。

Laravel 框架这样设计的目的可能是为了防止 session 劫持吧！考虑还是比较全面的！

其他补充知识

原生 PHP 设置 session 名称

session_name() 函数：

<?php
 
/* 设置会话名称为 WebsiteID */
 
$previous_name = session_name("WebsiteID");
 
echo "The previous session name was $previous_name<br />";
?>

session_name() 函数返回当前会话名称。 如果指定 name 参数， session_name() 函数会更新会话名称， 并返回 原来的 会话名称。

请求开始的时候，会话名称会被重置并且存储到 session.name 配置项。 因此，要想设置会话名称，那么对于每个请求，都需要在 调用 session_start() 或者 session_register() 函数之前调用 session_name() 函数。

COOKIE和SESSION的区别和关系

• COOKIE保存在客户端，而SESSION则保存在服务器端
• 从安全性来讲，SESSION的安全性更高
• 从保存内容的类型的角度来讲，COOKIE只保存字符串（及能够自动转换成字符串）
• 从保存内容的大小来看，COOKIE保存的内容是有限的，比较小，而SESSION基本上没有这个限制
• 从性能的角度来讲，用SESSION的话，对服务器的压力会更大一些
• SEEION依赖于COOKIE，但如果禁用COOKIE，也可以通过url传递

（本文为小谈博客原创，转载请注明出处！原文地址：https://blog.tanteng.me/2017/…）

大家好，我的新课程《图解HTTP精华解读》开始报名了

报名地址：https://segmentfault.com/l/15…

本次课程内容是对《图解HTTP》这本书的精华解读，无论你是否读过这本书，我们可以一起全面梳理一下关于 HTTP 的知识点。

课程目标

不仅是对这本书的知识总结，同时也会结合工作和个人理解从不同角度讲解 HTTP 的知识，重点补充 websocket 的应用以及 HTTP/2 的介绍

面向人群

希望加深对 HTTP 协议了解的人，或全面梳理复习 HTTP 知识点的人

难度级别

理解比较简单，但知识点很多，内容很重要

主要内容

• 从输入 URL 到页面展示的过程发生了什么？
• HTTP 协议基础（无状态，持久连接，报文，状态码，Cookie等）
• 为什么使用 HTTPS？HTTP 的缺点和不足
• WEB 安全防范（防注入，CSRF 攻击及原理）
• websocket 原理
• 简单演示 websocket 服务端搭建和客户端交互过程
• HTTP/2 介绍

让我们一起开启 HTTP 之旅！