专注WEB开发 分享经验,沉淀知识

thinkphp如何有效的设置session过期时间

 作者:chenxing  时间:2017-08-29 22:26  阅读:16560  评论:

即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话时间做过期判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。

thinkphp提供了一个参数让我们配置session过期时间。

'SESSION_OPTIONS' = array(
    expire => 3600
);

然而这一配置是否真的有效?在多次测试之后,不遂人意。

why?那我们试着从源码上分析这个配置参数的,它是怎么让尝试着然我们的session过期的。

session过期时间

上图在中展现了框架对session有效期的操作,它设置了php.ini中的两个变量“session.gc_maxlifetime”和“session.cookie_lifetime”的值。

那么我们继续追问?这个两个参数就能让session按照自己设置的时间过期?

我们看看这两个参数代表着什么?

session.gc_maxlifetime:session的有效生存时间,过了这个时间session将进入销毁队列。

session.cookie_lifetime:值为0代表关闭浏览器,保存在客户端的sessionid将立即失效。

session.gc_maxlifetime这个是关键,但过了这个时间并不能马上销毁,这又涉及到session.gc_probability和session.gc_divisor,这两个参数决定超过gc.maxlifetime的session被销毁的概率,只有session被销毁才能算过期。

上面的的几个因素说明了单纯配置SESSION_OPTIONS就想让session过期是行不通的,至少这种过期是有概率成分的。

还有session比较糟糕的是他没有像cookie那样默认就有域的隔离,如果你没做session.path的设置,那么运行在同一个服务器上的不同项目session文件是存在同一个目录的,不同项目的对maxlifetime的配置就会相互影响,gc的垃圾回收机制会按照后来者的配置值进行删除,前者的设置无效了。

对于上面的一些问题,我们的解决方案是什么?

对于session的有效时间设置要在代码层进行,我们了解到session过期的本质是session文件的销毁,我们把被动销毁,改为主动销毁

拿我的项目,举例说明,我要让一个登录在一个小时内过期,即在线时间为一个小时。

1.配置config。

'SESSION_OPTIONS' = array(
    //和其他运行在同一个服务器的sessio进行隔离,避免相互干扰
    'path' => '/session/tmp_s/',
    'expire' => 3600,
)

2.在LoginController中的登陆接口,把会话开始时间主动存到session中,代码入下:

public function doLogin(){
    if(IS_AJAX){
        $param = I('param.');
        $this->userModel = D('Admin');
        $userInfo = $this->userModel->login($param);
        if(!$userInfo) { 
            return $this->ajaxReturn(['code'=>false,'data'=>$this->userModel->getError()]);
        }
        $roleModel = D('Role');
        $role = $roleModel->getRoleInfo($userInfo['role_id']);
        session('adminId', $userInfo['auid']);
        session('adminName', $userInfo['username']);
        session('rule',$role['rule']);
        session('roleName', $role['rolename']);
        session('action', $role['action']);
        session('session_start_time', time());//记录会话开始时间!判断会话时间的重点!重点!重点!
        return $this->ajaxReturn(['code'=>true, 'data'=> '登录成功']);          
    }
}

3.在BaseController中的构造函数加上会话是否过期,让登录后的每一个请求都做会话过期判断,如下代码:

public function __construct(){
    parent::__construct();
    if(!session('adminId')){
        $this->redirect(U('Admin/Login/index'));
    };

    //判断会话是否过期
    if (time() - session('session_start_time') > C('SESSION_OPTIONS')['expire']) {
        session_destroy();//真正的销毁在这里!
        $this->redirect(U('Admin/Login/index'));
    }
}

上面的操作是双管齐下来了一个双保险,即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话过期时间做判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。

好了,今天‘对thinkphp有效的设置session过期时间’就介绍到这,希望对你有所帮助。

除特别注明外,本网站所有文章均为作者原创。 或分享自己的编程经验,或探讨工作中的问题,或聊以人生趣事。 转载请注明出处来自 https://www.qiusuoweb.com/81.html

发布评论

 提交评论
有人回复时邮件通知我

 评论(0)

站长头像
chenxing(PHP攻城狮)

运营天数

总访问量

文章数量

-

-

-

交流群:157451741

新浪微博:草莽兴

 近期文章

一年时间又回到这里

 2019-07-27 16:54  38

PHP字符串转数组的三种场景

 2018-05-05 01:32  171

PHP如何遍历字符串?

 2018-05-04 00:56  744

api接口常见的安全问题和解决方案

 2018-05-03 23:20  685

 最新评论

 pagenoname: 08月24日 18:51
兴哥牛B加油哈兴哥成功的道路上你又进了一步 哈哈
来源: 一年时间又回到这里
 iceyxm: 05月16日 15:00
谜一样的问题,我也遇到了,能改的权限都改了,文件目录属主也改了,然而并没有作用
来源: thinkphp5的mkdir() Permission denied问题探讨
 potatog: 03月27日 15:02
厉害了厉害了,搞了半天我,
来源: thinkphp利用PHPExcel导出数据实践
 aaa: 02月10日 17:02
受教
来源: thinkphp如何有效的设置session过期时间
 风格: 01月17日 09:35
我也是没解决
来源: thinkphp5的mkdir() Permission denied问题探讨
 小胡: 01月14日 14:28
非常感谢!使用非常便捷~
来源: thinkphp利用PHPExcel导出数据实践