कुकीज़ बनाम सत्र

मैंने कुछ महीने पहले PHP का उपयोग करना शुरू किया था। अपनी वेबसाइट के लिए एक लॉगिन सिस्टम बनाने के लिए, मैंने कुकीज़ और सत्रों और उनके अंतरों के बारे में पढ़ा (कुकीज़ उपयोगकर्ता के ब्राउज़र और सर्वर पर सत्रों में संग्रहीत हैं)। उस समय, मैं कुकीज़ को प्राथमिकता देता था (और कुकीज़ किसे पसंद नहीं है?) और बस कहा: "कौन परवाह करता है? मेरे सर्वर में इसे स्टोर करने के साथ कोई अच्छा सौदा नहीं है", इसलिए, मैंने आगे बढ़कर कुकीज़ का इस्तेमाल किया मेरी स्नातक स्नातक परियोजना। हालाँकि, मेरे ऐप के बड़े हिस्से के बाद, मैंने सुना है कि उपयोगकर्ता के आईडी को संग्रहीत करने के विशेष मामले के लिए, सत्र अधिक उपयुक्त हैं। इसलिए मैं सोचने लगा कि अगर जूरी मुझसे पूछें कि आपने सत्रों के बजाय कुकीज़ का इस्तेमाल क्यों किया है? मेरे पास बस यही कारण है (कि मुझे उपयोगकर्ता के बारे में आंतरिक जानकारी संग्रहीत करने की आवश्यकता नहीं है)।? या यह उससे अधिक है?
क्या आप मुझे उपयोगकर्ता आईडी रखने के लिए कुकीज़ का उपयोग करने के फायदे / नुकसान के बारे में बता सकते हैं?

StackOverflow में आप सभी के लिए धन्यवाद!

अवधारणा एक वेब आगंतुक के लिए पेज लोड पर लगातार डेटा संग्रहीत कर रहा है। कुकीज इसे सीधे क्लाइंट पर स्टोर करती हैं। सत्र सर्वर की तरफ संग्रहीत डेटा के साथ जुड़ने के लिए, एक प्रकार की कुंजी के रूप में कुकी का उपयोग करते हैं।

यह सत्रों का उपयोग करने के लिए पसंद किया जाता है क्योंकि वास्तविक मान क्लाइंट से छिपे होते हैं, और जब डेटा समाप्त हो जाता है और आप अमान्य हो जाते हैं तो आप नियंत्रण करते हैं। यदि यह सभी कुकीज़ पर आधारित था, तो एक उपयोगकर्ता (या हैकर) अपने कुकी डेटा में हेरफेर कर सकता है और फिर आपकी साइट पर अनुरोध कर सकता है।

संपादित करें: मुझे नहीं लगता कि सादगी के अलावा, कुकीज़ का उपयोग करने का कोई फायदा है। इसे इस तरह से देखें ... क्या उपयोगकर्ता के पास अपनी आईडी # जानने का कोई कारण है? आमतौर पर मैं कहता हूं कि नहीं, उपयोगकर्ता को इस जानकारी की कोई आवश्यकता नहीं है। जानकारी देने को आधार के आधार पर सीमित होना चाहिए। क्या होगा यदि उपयोगकर्ता अपनी कुकी को एक अलग आईडी के लिए बदलता है, तो आपका आवेदन कैसे प्रतिक्रिया देगा? यह एक सुरक्षा जोखिम है।

इससे पहले कि सत्र सभी हंगामेदार हों, मूल रूप से मेरा अपना कार्यान्वयन था। मैंने क्लाइंट पर एक अद्वितीय कुकी मान संग्रहीत किया, और उस कुकी मान के साथ डेटाबेस में अपने निरंतर डेटा को संग्रहीत किया। फिर पृष्ठ के अनुरोधों पर मैंने उन मूल्यों का मिलान किया और ग्राहक को यह बताए बिना कि मेरा डेटा स्थिर था, क्या था।

उन दोनों के बीच अंतर करने के लिए मूल विचार।

सत्र:

1. IDU सर्वर पर संग्रहीत किया जाता है (अर्थात सर्वर-साइड)
2. सुरक्षित (1 के कारण)
3. समाप्ति सेट नहीं किया जा सकता है, जब उपयोगकर्ता ब्राउज़र बंद करते हैं तो सत्र चर समाप्त हो जाएगा। (आजकल इसे 24 मिनट के लिए php में डिफ़ॉल्ट रूप में संग्रहीत किया जाता है)

कुकीज़:

1. आईडीयू वेब-ब्राउज़र (अर्थात क्लाइंट-साइड) पर संग्रहीत है
2. बहुत सुरक्षित नहीं है, क्योंकि हैकर्स आपकी जानकारी प्राप्त कर सकते हैं (1 के कारण)
3. समाप्ति निर्धारित की जा सकती है ( अधिक जानकारी के लिए सेटकुकीज़ देखें)

जब आपको अल्पकालिक जानकारी / मान संग्रहीत करने की आवश्यकता होती है, जैसे गणना, माप, क्वेरी आदि के लिए सत्र को प्राथमिकता दी जाती है।

जब आप उपयोगकर्ता के खाते के रूप में लंबी अवधि की जानकारी / मूल्यों को संग्रहीत करने की आवश्यकता होती है, तो कुकीज़ पसंद की जाती है (ताकि जब भी वे 2 दिनों के लिए कंप्यूटर को बंद कर दें, तब भी उनका खाता लॉग इन होगा)। मैं कुकीज़ के लिए कई उदाहरणों के बारे में नहीं सोच सकता क्योंकि यह अधिकांश स्थितियों में अपनाया नहीं गया है।

SESSIONS ENDS WHEN USER CLOSES THEIR BROWSER,

COOKIES END DEPENDING ON THE LIFETIME YOU SET FOR IT. SO THEY CAN LAST FOR YEARS

यह आपकी पसंद में प्रमुख अंतर है,

यदि आप चाहते हैं कि आईडी को लंबे समय तक याद रखा जाए, तो आपको कुकीज़ का उपयोग करने की आवश्यकता है; अन्यथा यदि आप चाहते हैं कि वेबसाइट केवल इस यात्रा के लिए उपयोगकर्ता को पहचाने तभी सत्र जाने का रास्ता है।

सत्र एक फ़ाइल में संग्रहीत किए जाते हैं जो आपका php सर्वर उत्पन्न करेगा। यह याद रखने के लिए कि कौन सी फ़ाइल किस उपयोगकर्ता के लिए है, php उपयोगकर्ता के ब्राउज़र पर एक कुकी भी सेट करेगा जो इस सत्र फ़ाइल आईडी को रखता है ताकि उनकी अगली यात्रा में php इस फ़ाइल को पढ़े और सत्र को पुनः लोड कर सके।

अब हर अंतराल पर डिफ़ॉल्ट क्लीयर सेशन से php, और सेशन का नामकरण कन्वेंशन भी इसे ऑटो एक्सपायर कर देता है। इसके अलावा, ब्राउज़र कुकी को बंद नहीं रखेगा जो कि ब्राउज़र बंद होने के बाद सत्र आईडी रखता है या इतिहास साफ हो जाता है।

यह ध्यान रखना महत्वपूर्ण है कि आजकल ब्राउजर एक अन्य प्रकार के स्टोरेज इंजन जैसे कि लोकलस्टोरीज, सेशनस्टोरेज और अन्य वेबडब इंजन का भी समर्थन करते हैं जो जावास्क्रिप्ट कोड आपके कंप्यूटर में डेटा को बचाने के लिए आपको याद रखने के लिए उपयोग कर सकते हैं। यदि आप उदाहरण के लिए, फेसबुक के अंदर जावास्क्रिप्ट कंसोल को खोलते हैं, और "लोकलस्टोरेज" टाइप करते हैं, तो आप उन सभी चरों को देखेंगे जिन्हें फेसबुक आपको कुकीज़ के बिना याद रखने के लिए उपयोग करता है।

जब आप उपयोगकर्ताओं में लॉग इन को पहचानने के लिए #ID को कुकी के रूप में सहेजते हैं, तो आप वास्तव में उन उपयोगकर्ताओं को डेटा दिखा रहे हैं जो उनसे संबंधित नहीं हैं। इसके अलावा, यदि कोई तृतीय पक्ष अपने ब्राउज़र में कुकी डेटा के रूप में यादृच्छिक आईडी सेट करने का प्रयास करता है, तो वे सर्वर को यह समझाने में सक्षम होंगे कि वे एक उपयोगकर्ता हैं जबकि वे वास्तव में नहीं हैं। वह सुरक्षा की कमी है।

आपने कुकीज़ का उपयोग किया है, और जैसा कि आपने कहा था कि आपने पहले ही परियोजना पूरी कर ली है। इसके अलावा कुकी को लंबे समय तक रहने का विशेषाधिकार प्राप्त है, जबकि सत्र अधिक तेज़ी से समाप्त होते हैं। इसलिए इस मामले में सत्र उपयुक्त नहीं हैं। वास्तव में कई प्रसिद्ध और लोकप्रिय वेबसाइट और सेवाएँ कुकी का उपयोग करती हैं और आप लंबे समय तक लॉग-इन रह सकते हैं। लेकिन आप एक सुरक्षित लॉग-इन प्रक्रिया बनाने के लिए उनकी विधि का उपयोग कैसे कर सकते हैं?

यहां एक विचार है: आप कुकीज़ का उपयोग करने के तरीके में मदद कर सकते हैं: यदि आप लॉग-इन उपयोगकर्ताओं को पहचानने के लिए आईडी के बजाय यादृच्छिक कुंजियों का उपयोग करते हैं, तो सबसे पहले, आप अपने प्राथमिक डेटा को यादृच्छिक उपयोगकर्ताओं के लिए लीक नहीं करते हैं, और दूसरा, यदि आप यादृच्छिक पर विचार करते हैं कुंजी काफी बड़ी है, किसी के लिए एक कुंजी का अनुमान लगाना या एक यादृच्छिक बनाना कठिन होगा। उदाहरण के लिए, आप उपयोगकर्ता के ब्राउज़र में इस तरह 40 लंबाई की कुंजी को सहेज सकते हैं: "KUYTYRFU7987gJHFJ543JHBJHCF5645UYTUYJH54657jguthfn" और इससे किसी के लिए सटीक कुंजी बनाने और किसी और के होने का नाटक करने की संभावना कम होगी।

संक्षिप्त जवाब

प्राथमिकता के आधार पर दिए गए नियम:

• नियम 1. उपयोगकर्ता इनपुट पर कभी भरोसा न करें: कुकीज़ सुरक्षित नहीं हैं। संवेदनशील डेटा के लिए सत्र का उपयोग करें।
• नियम 2. यदि उपयोगकर्ता द्वारा ब्राउज़र बंद करने पर लगातार डेटा रहना चाहिए, तो कुकीज़ का उपयोग करें।
• नियम 3. यदि उपयोगकर्ता द्वारा ब्राउज़र बंद करने पर लगातार डेटा नहीं रहना है, तो सत्र का उपयोग करें।
• नियम 4. विस्तृत उत्तर पढ़ें!

स्रोत: https://www.lucidar.me/en/web-dev/session-or-cookies/

विस्तृत जवाब

कुकीज़

• कुकीज़ क्लाइंट की ओर (विज़िटर के ब्राउज़र में) संग्रहीत हैं।
• कुकीज़ सुरक्षित नहीं हैं: कुकी सामग्री पढ़ना और लिखना काफी आसान है।
• कुकीज़ का उपयोग करते समय, आपको यूरोपीय कानूनों (GDPR) के अनुसार आगंतुकों को सूचित करना होगा।
• समय सीमा समाप्त हो सकती है, लेकिन उपयोगकर्ता या ब्राउज़र इसे बदल सकते हैं।
• उपयोगकर्ता (या ब्राउज़र) कुकीज़ के उपयोग को अस्वीकार कर सकते हैं (सेट किया जा सकता है)।

सत्र

• सर्वर साइड पर सत्र संग्रहीत हैं।
• सत्र कुकीज़ का उपयोग करते हैं (नीचे देखें)।
• सत्र कुकीज़ की तुलना में सुरक्षित हैं, लेकिन अतुलनीय नहीं हैं।
• समाप्ति सर्वर कॉन्फ़िगरेशन (उदाहरण के लिए php.ini) में सेट की गई है।
• डिफ़ॉल्ट समाप्ति समय 24 मिनट या जब ब्राउज़र बंद हो जाता है।
• उपयोगकर्ता द्वारा नया पृष्ठ ताज़ा करने या लोड करने पर समाप्ति रीसेट हो जाती है।
• उपयोगकर्ता (या ब्राउज़र) कुकीज़ के उपयोग को अस्वीकार कर सकते हैं (इसलिए सेट किया जा सकता है), इसलिए सत्र।
• कानूनी तौर पर, आपको कुकी के लिए आगंतुकों को सूचित करना होगा, लेकिन मिसाल की कमी अभी तक स्पष्ट नहीं है।

उपयुक्त विकल्प

सत्र कुकी का उपयोग करते हैं! सत्र डेटा सर्वर साइड पर संग्रहीत किया जाता है, लेकिन एक यूआईडी क्लाइंट साइड में एक कुकी में संग्रहीत किया जाता है। यह सर्वर को किसी उपयोगकर्ता को सही सत्र डेटा के साथ मेल करने की अनुमति देता है। यूआईडी संरक्षित है और हैक करने में कठिन है, लेकिन अमूल्य नहीं है। संवेदनशील क्रियाओं (ईमेल बदलने या पासवर्ड रीसेट करने) के लिए, सत्रों पर न तो भरोसा न करें कुकीज़: कार्रवाई की पुष्टि करने के लिए उपयोगकर्ता पासवर्ड के लिए पूछें।

संवेदनशील डेटा को कभी भी कुकीज़ (ईमेल, एन्क्रिप्टेड पासवर्ड, पर्सनल डेटा ...) में संग्रहित नहीं किया जाना चाहिए। ध्यान रखें कि डेटा एक विदेशी कंप्यूटर पर संग्रहीत हैं, और यदि कंप्यूटर निजी (कक्षा या सार्वजनिक कंप्यूटर) नहीं है, तो कोई अन्य व्यक्ति संभवतः कुकी सामग्री को पढ़ सकता है।

याद रखें-मुझे डेटा कुकीज़ में संग्रहीत किया जाना चाहिए, अन्यथा उपयोगकर्ता द्वारा ब्राउज़र बंद करने पर डेटा खो जाएगा। हालाँकि, 'याद रखें' कुकी में पासवर्ड या उपयोगकर्ता के व्यक्तिगत डेटा को न सहेजें। उपयोगकर्ता डेटा को डेटाबेस में संग्रहीत करें और इस डेटा को एक कुकी में संग्रहीत आईडी / कुंजी की एक एन्क्रिप्टेड जोड़ी के साथ लिंक करें।

पिछली सिफारिशों पर विचार करने के बाद, निम्नलिखित प्रश्न अंत में कुकीज़ और सत्रों के बीच चयन करने में आपकी मदद करता है:

उपयोगकर्ता द्वारा ब्राउज़र बंद करने पर लगातार डेटा बना रहना चाहिए?

• यदि जवाब हां है , तो कुकीज़ का उपयोग करें ।
• यदि उत्तर नहीं है , तो सत्र का उपयोग करें ।

दरअसल, सत्र और कुकीज़ हमेशा अलग चीजें नहीं होती हैं। अक्सर, लेकिन हमेशा नहीं, सत्र कुकीज़ का उपयोग करता है।

इन अन्य प्रश्नों में आपके प्रश्न के कुछ अच्छे उत्तर यहां दिए गए हैं। चूँकि आपका प्रश्न विशेष रूप से उपयोगकर्ता के IDU (या ID) को बचाने के बारे में है, मुझे नहीं लगता कि यह उन अन्य प्रश्नों का एक बहुत डुप्लिकेट है, लेकिन उनके उत्तरों से आपको मदद मिलनी चाहिए।

कुकीज़ बनाम सत्र

कैश वी.एस. सत्र वी.एस. कुकीज़?

सत्र और कुकी में क्या अंतर है?

मैं व्यक्तिगत रूप से कुकीज़ और सत्र दोनों का उपयोग करता हूं।

उपयोगकर्ता द्वारा "मुझे याद रखें" चेकबॉक्स पर क्लिक करने पर कुकीज़ का उपयोग किया जाता है । और कुकीज़ भी एन्क्रिप्टेड हैं और केवल डेटा सर्वर पर डिक्रिप्ट होता है। यदि कोई कुकीज़ को संपादित करने का प्रयास करता है तो हमारी डिक्रिप्टर्स इसका पता लगाने में सक्षम होती है और अनुरोध को अस्वीकार कर देती है।

मैंने ऐसी कई साइटें देखी हैं जहाँ कुकीज़ में लॉगिन जानकारी संग्रहीत की जाती है , कोई भी किसी भी खाते तक पहुंचने के लिए बस उपयोगकर्ता की आईडी और उपयोगकर्ता नाम कुकीज़ में बदल सकता है।

धन्यवाद,

सत्र और कुकी एक समान नहीं हैं।

वेब पृष्ठों से जानकारी संग्रहीत करने के लिए एक सत्र का उपयोग किया जाता है। आम तौर पर वेब पेजों में इन सूचनाओं को संग्रहीत करने के लिए कोई यादें नहीं होती हैं। लेकिन हम का उपयोग करके आवश्यक जानकारी को बचा सकते हैं।

लेकिन यूजर्स की पहचान के लिए कुकी का इस्तेमाल किया जाता है। कुकी का उपयोग करके हम डेटा को स्टोर कर सकते हैं। यह डेटा का एक छोटा सा हिस्सा है जो उपयोगकर्ता वेब ब्राउज़र में संग्रहीत करेगा। इसलिए जब भी उपयोगकर्ता अगली बार ब्राउज करे तो पिछली गतिविधियों को प्राप्त करने के लिए सर्वर को कुकी डेटा जानकारी वापस भेजें।

क्रेडिट: सत्र और कुकी

सत्र आपको कुकीज़ के समान जानकारी के अलग-अलग टुकड़ों को स्टोर करने की अनुमति देते हैं, लेकिन डेटा क्लाइंट के बजाय सर्वर पर संग्रहीत हो जाता है।

जैसा कि अन्य ने कहा, सत्र चतुर हैं और ग्राहक से जानकारी छिपाने का अधिक लाभ है।

लेकिन कुकी के पास अभी भी कम से कम एक फायदा है , आप अपने कुकीज़ को जावास्क्रिप्ट से एक्सेस कर सकते हैं (उदाहरण के लिए ngCookies )। PHP सत्र के साथ आप इसे PHP स्क्रिप्ट के बाहर कहीं भी एक्सेस नहीं कर सकते।

मैं सत्र का चयन करूंगा, सबसे पहले सत्र अधिक सुरक्षित है फिर कुकीज़, कुकीज़ ग्राहक साइट डेटा और सत्र सर्वर साइट डेटा है। किसी उपयोगकर्ता की पहचान करने के लिए कुकीज़ का उपयोग किया जाता है, क्योंकि यह कोड के छोटे टुकड़े हैं जो उपयोगकर्ता कंप्यूटर ब्राउज़र के साथ मेरा सर्वर एम्बेडेड है। दूसरी ओर, सत्र आपको पहचान सुरक्षित करने में आपकी मदद करता है क्योंकि वेब सर्वर यह नहीं जानता कि आप कौन हैं क्योंकि HTTP पता राज्य में 192.168.0.1 से 765487cf34ert8ded… .. को GET और POST विधियों की सहायता से कुछ और संख्या में बदलता है। सत्र यूजर्स के डेटा को यूनिक आईडी सेशन में स्टोर करता है, यहां तक ​​कि यूजर आईडी एक दूसरे के साथ मेल नहीं खा सकती है। सत्र एक अनुप्रयोग के सभी पृष्ठों में एकल उपयोगकर्ता जानकारी संग्रहीत करता है। कुकी एक्सपायर को सेटक्यूकीज () की मदद से सेट किया जाता है जबकि सेशन एक्सपायर सेट नहीं होता है यह तब समाप्त हो जाता है जब उपयोगकर्ता ब्राउजर बंद कर देता है।

एक सत्र सर्वर पर जानकारी का एक समूह है जो कुकी जानकारी से जुड़ा है। यदि आप PHP का उपयोग कर रहे हैं तो आप सत्र की जाँच कर सकते हैं। सहेजें _ पथ स्थान और वास्तव में "सत्र देखें"। कुकी ग्राहकों को भेजे गए और भेजे गए डेटा का एक स्निपेट है। कुकीज़ का उपयोग अक्सर सत्रों को सुविधाजनक बनाने के लिए किया जाता है क्योंकि यह सर्वर को बताता है कि किस सत्र को किस क्लाइंट ने संभाला है। ऐसा करने के अन्य तरीके हैं (क्वेरी स्ट्रिंग मैजिक आदि) लेकिन कुकीज़ इसके लिए सबसे आम हैं।