专注WEB开发 分享经验,沉淀知识

thinkphp如何有效的设置session过期时间

 作者:chenxing  时间:2017-08-29 22:26  阅读:17169  评论:

即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话时间做过期判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。

thinkphp提供了一个参数让我们配置session过期时间。

'SESSION_OPTIONS' = array(
    expire => 3600
);

然而这一配置是否真的有效?在多次测试之后,不遂人意。

why?那我们试着从源码上分析这个配置参数的,它是怎么让尝试着然我们的session过期的。

session过期时间

上图在中展现了框架对session有效期的操作,它设置了php.ini中的两个变量“session.gc_maxlifetime”和“session.cookie_lifetime”的值。

那么我们继续追问?这个两个参数就能让session按照自己设置的时间过期?

我们看看这两个参数代表着什么?

session.gc_maxlifetime:session的有效生存时间,过了这个时间session将进入销毁队列。

session.cookie_lifetime:值为0代表关闭浏览器,保存在客户端的sessionid将立即失效。

session.gc_maxlifetime这个是关键,但过了这个时间并不能马上销毁,这又涉及到session.gc_probability和session.gc_divisor,这两个参数决定超过gc.maxlifetime的session被销毁的概率,只有session被销毁才能算过期。

上面的的几个因素说明了单纯配置SESSION_OPTIONS就想让session过期是行不通的,至少这种过期是有概率成分的。

还有session比较糟糕的是他没有像cookie那样默认就有域的隔离,如果你没做session.path的设置,那么运行在同一个服务器上的不同项目session文件是存在同一个目录的,不同项目的对maxlifetime的配置就会相互影响,gc的垃圾回收机制会按照后来者的配置值进行删除,前者的设置无效了。

对于上面的一些问题,我们的解决方案是什么?

对于session的有效时间设置要在代码层进行,我们了解到session过期的本质是session文件的销毁,我们把被动销毁,改为主动销毁

拿我的项目,举例说明,我要让一个登录在一个小时内过期,即在线时间为一个小时。

1.配置config。

'SESSION_OPTIONS' = array(
    //和其他运行在同一个服务器的sessio进行隔离,避免相互干扰
    'path' => '/session/tmp_s/',
    'expire' => 3600,
)

2.在LoginController中的登陆接口,把会话开始时间主动存到session中,代码入下:

public function doLogin(){
    if(IS_AJAX){
        $param = I('param.');
        $this->userModel = D('Admin');
        $userInfo = $this->userModel->login($param);
        if(!$userInfo) { 
            return $this->ajaxReturn(['code'=>false,'data'=>$this->userModel->getError()]);
        }
        $roleModel = D('Role');
        $role = $roleModel->getRoleInfo($userInfo['role_id']);
        session('adminId', $userInfo['auid']);
        session('adminName', $userInfo['username']);
        session('rule',$role['rule']);
        session('roleName', $role['rolename']);
        session('action', $role['action']);
        session('session_start_time', time());//记录会话开始时间!判断会话时间的重点!重点!重点!
        return $this->ajaxReturn(['code'=>true, 'data'=> '登录成功']);          
    }
}

3.在BaseController中的构造函数加上会话是否过期,让登录后的每一个请求都做会话过期判断,如下代码:

public function __construct(){
    parent::__construct();
    if(!session('adminId')){
        $this->redirect(U('Admin/Login/index'));
    };

    //判断会话是否过期
    if (time() - session('session_start_time') > C('SESSION_OPTIONS')['expire']) {
        session_destroy();//真正的销毁在这里!
        $this->redirect(U('Admin/Login/index'));
    }
}

上面的操作是双管齐下来了一个双保险,即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话过期时间做判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。

好了,今天‘对thinkphp有效的设置session过期时间’就介绍到这,希望对你有所帮助。

除特别注明外,本网站所有文章均为作者原创。 或分享自己的编程经验,或探讨工作中的问题,或聊以人生趣事。 转载请注明出处来自 https://www.qiusuoweb.com/81.html

发布评论

 提交评论
有人回复时邮件通知我

 评论(0)

站长头像
chenxing(PHP攻城狮)

运营天数

总访问量

文章数量

-

-

-

交流群:157451741

新浪微博:草莽兴

 近期文章

一年时间又回到这里

 2019-07-27 16:54  75

PHP字符串转数组的三种场景

 2018-05-05 01:32  176

PHP如何遍历字符串?

 2018-05-04 00:56  877

api接口常见的安全问题和解决方案

 2018-05-03 23:20  784

 最新评论

 666666: 11月08日 13:49
66666
来源: 一年时间又回到这里
 花花草草: 10月14日 14:58
tp5不是已经提前开了吗
来源: _SESSION变量未定义?
 疯了: 10月10日 13:40
你好呀,我使用docker构建的 把整个项目给了777 并把runtime的所有者给了nginx php的运行者还是报错
来源: thinkphp5的mkdir() Permission denied问题探讨
 mesecretme: 09月30日 15:30
有个问题,有没有发现用redis保存session的话,session清空redis的key还没过期,会依然保留的,这是值变成空了
来源: php项目redis实现session共享案例
 旧久: 09月20日 07:24
感谢!
来源: 没备案域名如何在阿里云服务器上使用?
 pagenoname: 08月24日 18:51
兴哥牛B加油哈兴哥成功的道路上你又进了一步 哈哈
来源: 一年时间又回到这里