Php 使用OpenID进行身份验证后在REST应用程序中管理会话

我正在构建一个RESTful应用程序。我计划使用OpenID进行用户身份验证。目前，我正在使用OpenID身份验证，我能够验证我的用户

我的问题是认证后下一步是什么？

由于它是一个REST应用程序，我将不得不使用Cookies进行会话管理。。对吧?

我应该在Cookies中存储哪些值

如何验证会话和用户注销 我确实搜索了一些关于实现的例子，但是所有的例子都停留在身份验证上，没有谈到会话管理！我想知道您是如何管理应用程序中的会话的，如果可能的话，还有在实现方法时的最佳实践和关注点

如果您知道任何参考实施，请向我提供链接。

重要信息： 首先，您应该记住一些重要的安全建议：

• 你还应该阅读关于和如何去做
  • 你应该保护自己，防止使用它。我还发现有一些有趣的地方

你的问题： 因为它是一个REST应用程序，所以我将 必须在会话中使用Cookies 管理层。。对吧?

使用会话是最安全（最好）的，但当然还有很多。但是如果您只使用cookie（没有php

$\u会话

），那么您当然应该加密cookie。但我建议您只使用$\u会话

我应该在Cookies中存储哪些值

你不能在饼干里储存任何东西<代码>$\u会话为您创建独特的cookie（自动=>您不必考虑它）。您放入

$\u会话中的所有内容都存储在服务器上，因此用户无法读取。您可以存储希望在会话中存储的任何信息，但请记住，最好不要在应用程序中存储敏感数据（pin码、信用卡、密码等）。我已经说过，您的$\u会话存储在服务器上，但是具有唯一标识符以与存储在光盘（或数据库）上的会话匹配的cookie可能会被删除

如何验证会话

您可以通过检查会话中存储的信息来验证会话。我假设您至少存储了
$\u会话['id']=$openid->identity在会话中。请记住，在用户使用openid登录到您的网站后，您应该防止

如何注销用户

您只需调用，会话中存储的所有数据都将被删除


我希望这解释了你所有的问题

附言：
为您提供会话的基本介绍（虽然我看不出其中提到会话固定：$）。
感谢您对会话管理给出了令人大开眼界的解释+5获取您提供的其他信息链接！