Home PHP Script thinkphp Thinkphp如何有效的设置session过期时间

Thinkphp如何有效的设置session过期时间

Posted on October 10, 2020
No Comment BOOKMARK

thinkphp提供了一个参数让我们配置session过期时间。

'SESSION_OPTIONS' = array(
    expire => 3600
);

然而这一配置是否真的有效?在多次测试之后,不遂人意。

why?那我们试着从源码上分析这个配置参数的,它是怎么让尝试着然我们的session过期的。

上图在中展现了框架对session有效期的操作,它设置了php.ini中的两个变量“session.gc_maxlifetime”和“session.cookie_lifetime”的值。

那么我们继续追问?这个两个参数就能让session按照自己设置的时间过期?

我们看看这两个参数代表着什么?

session.gc_maxlifetime:session的有效生存时间,过了这个时间session将进入销毁队列。

session.cookie_lifetime:值为0代表关闭浏览器,保存在客户端的sessionid将立即失效。

session.gc_maxlifetime这个是关键,但过了这个时间并不能马上销毁,这又涉及到session.gc_probability和session.gc_divisor,这两个参数决定超过gc.maxlifetime的session被销毁的概率,只有session被销毁才能算过期。

上面的的几个因素说明了单纯配置SESSION_OPTIONS就想让session过期是行不通的,至少这种过期是有概率成分的。

还有session比较糟糕的是他没有像cookie那样默认就有域的隔离,如果你没做session.path的设置,那么运行在同一个服务器上的不同项目session文件是存在同一个目录的,不同项目的对maxlifetime的配置就会相互影响,gc的垃圾回收机制会按照后来者的配置值进行删除,前者的设置无效了。

对于上面的一些问题,我们的解决方案是什么?

对于session的有效时间设置要在代码层进行,我们了解到session过期的本质是session文件的销毁,我们把被动销毁,改为主动销毁

拿我的项目,举例说明,我要让一个登录在一个小时内过期,即在线时间为一个小时。

1.配置config。

'SESSION_OPTIONS' = array(
    //和其他运行在同一个服务器的sessio进行隔离,避免相互干扰
    'path' => '/session/tmp_s/',
    'expire' => 3600,
)

2.在LoginController中的登陆接口,把会话开始时间主动存到session中,代码入下:

public function doLogin(){
    if(IS_AJAX){
        $param = I('param.');
        $this->userModel = D('Admin');
        $userInfo = $this->userModel->login($param);
        if(!$userInfo) { 
            return $this->ajaxReturn(['code'=>false,'data'=>$this->userModel->getError()]);
        }
        $roleModel = D('Role');
        $role = $roleModel->getRoleInfo($userInfo['role_id']);
        session('adminId', $userInfo['auid']);
        session('adminName', $userInfo['username']);
        session('rule',$role['rule']);
        session('roleName', $role['rolename']);
        session('action', $role['action']);
        session('session_start_time', time());//记录会话开始时间!判断会话时间的重点!重点!重点!
        return $this->ajaxReturn(['code'=>true, 'data'=> '登录成功']);          
    }
}

3.在BaseController中的构造函数加上会话是否过期,让登录后的每一个请求都做会话过期判断,如下代码:

public function __construct(){
    parent::__construct();
    if(!session('adminId')){
        $this->redirect(U('Admin/Login/index'));
    };

    //判断会话是否过期
    if (time() - session('session_start_time') > C('SESSION_OPTIONS')['expire']) {
        session_destroy();//真正的销毁在这里!
        $this->redirect(U('Admin/Login/index'));
    }
}

上面的操作是双管齐下来了一个双保险,即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话过期时间做判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。

好了,今天‘对thinkphp有效的设置session过期时间’就介绍到这,希望对你有所帮助。

原文:http://www.qiusuoweb.com/81.html

affiliate_link
Share this Post:
Digg Google Bookmarks reddit Mixx StumbleUpon Technorati Yahoo! Buzz DesignFloat Delicious BlinkList Furl
Tagged with:

Comments are closed.