通过纯 CGI 进行会话管理

Question

我目前正在使用 C 中的 CGI 作为一个业余爱好项目编写一个小博客/通用发布系统，现在需要一个会话管理系统来验证授权用户的身份，以便在 上进行发布、编辑和类似操作多个 CGI 程序

在几年前使用 PHP 时，我记得使用了超全局变量 $_SESSION 和一些会话初始化函数。 显然在处理纯 CGI 时，这种方式是行不通的，所以我的处境很棘手。

一点思考表明，有很多不同的方法可以做到这一点...

1. 将 IP 地址和属性保存在一个文件中，我可以在其中查看特定 IP 是否已授权
2. 与 #1 相同，但使用 SQLite 数据库（我的引擎已经运行在 SQLite 上，所以不会有额外的开销）
3. 也许有 cookies 的东西？

与其全力以赴，然后后悔……你们好人怎么想？什么是最有效（也是最重要）且可维护的方法？

请注意，我不想想让第三方库为我做所有复杂的事情！我开始这个项目是为了完全自己构建一些东西（如果你在这里忽略 SQLite），我不想隐藏困难的部分，即使它使一切变得更加简单。如果我不想折磨自己的话，我可以直接使用 Python :)

Answer 1

基于 Cookie 的会话管理是可行的方法。您不能仅仅使用 IP 地址，甚至不能使用 IP 地址 + 浏览器组合，因为当人们使用代理或位于 NAT 之后时，这会失败。

只需向浏览器发送 cookie 中的哈希值，然后根据您的用户记录验证该哈希值，如果匹配，您就可以访问该用户会话的数据。

考虑为哈希添加过期机制。在安全性和易用性之间需要权衡，因为相同的哈希对用户有效的时间越长，用户容易受到 cookie 窃取攻击的时间就越长。

过期机制还将使您能够从数据库（或文件，如果您愿意的话）中删除过时的会话数据。