thinkphp如何有效的设置session过期时间
thinkphp提供了一个参数让我们配置session过期时间。
'SESSION_OPTIONS' = array(
expire => 3600
);然而这一配置是否真的有效?在多次测试之后,不遂人意。
why?那我们试着从源码上分析这个配置参数的,它是怎么让尝试着然我们的session过期的。
上图在中展现了框架对session有效期的操作,它设置了php.ini中的两个变量session.gc_maxlifetime和session.cookie_lifetime的值。
那么我们继续追问?这个两个参数就能让session按照自己设置的时间过期?
我们看看这两个参数代表着什么?
session.gc_maxlifetime:session的有效生存时间,过了这个时间session将进入销毁队列。
session.cookie_lifetime:值为0代表关闭浏览器,保存在客户端的sessionid将立即失效。
session.gc_maxlifetime这个是关键,但过了这个时间并不能马上销毁,这又涉及到session.gc_probability和session.gc_divisor,这两个参数决定超过gc.maxlifetime的session被销毁的概率,只有session被销毁才能算过期。
上面的的几个因素说明了单纯配置SESSION_OPTIONS就想让session过期是行不通的,至少这种过期是有概率成分的。
还有session比较糟糕的是他没有像cookie那样默认就有域的隔离,如果你没做session.path的设置,那么运行在同一个服务器上的不同项目session文件是存在同一个目录的,不同项目的对maxlifetime的配置就会相互影响,gc的垃圾回收机制会按照后来者的配置值进行删除,前者的设置无效了。
对于上面的一些问题,我们的解决方案是什么?
对于session的有效时间设置要在代码层进行,我们了解到session过期的本质是session文件的销毁,我们把被动销毁,改为主动销毁。
拿我的项目,举例说明,我要让一个登录在一个小时内过期,即在线时间为一个小时。
1.配置config。
'SESSION_OPTIONS' = array(
//和其他运行在同一个服务器的session进行隔离,避免相互干扰
'path' => '/session/tmp_s/',
'expire' => 3600,
)2.在LoginController中的登陆接口,把会话开始时间主动存到session中,代码入下:
public function doLogin(){
if(IS_AJAX){
$param = I('param.');
$this->userModel = D('Admin');
$userInfo = $this->userModel->login($param);
if(!$userInfo) {
return $this->ajaxReturn(['code'=>false,'data'=>$this->userModel->getError()]);
}
$roleModel = D('Role');
$role = $roleModel->getRoleInfo($userInfo['role_id']);
session('adminId', $userInfo['auid']);
session('adminName', $userInfo['username']);
session('rule',$role['rule']);
session('roleName', $role['rolename']);
session('action', $role['action']);
session('session_start_time', time());//记录会话开始时间!判断会话时间的重点!重点!重点!
return $this->ajaxReturn(['code'=>true, 'data'=> '登录成功']);
}
}3.在父类控制器 BaseController中的构造函数加上会话是否过期,让登录后的每一个请求都做会话过期判断,如下代码:
public function __construct(){
parent::__construct();
if(!session('adminId')){
$this->redirect(U('Admin/Login/index'));
};
//判断会话是否过期
if (time() - session('session_start_time') > C('SESSION_OPTIONS')['expire']) {
session_destroy();//真正的销毁在这里!
$this->redirect(U('Admin/Login/index'));
}
}上面的操作是双管齐下来了一个双保险,即对session.gc_maxlifetime和session.cookie_lifetime的设置,同时主动对会话过期时间做判断。如果gc没有回收过期的session,那么程序中会话过期判断就会进行补刀。
好了,今天‘对thinkphp有效的设置session过期时间’就介绍到这,希望对你有所帮助。
除特别注明外,本站所有文章均为作者原创。 或分享自己的编程经验,或探讨工作中的问题,或聊以人生趣事。 转载请注明出处来自 http://www.qiusuoweb.com/81.html