PHP 中的会话超时:最佳实践

Posted

技术标签:

【中文标题】PHP 中的会话超时:最佳实践【英文标题】:Session timeouts in PHP: best practices 【发布时间】:2010-11-17 04:58:35 【问题描述】:

session.gc_maxlifetimesession_cache_expire() 之间的实际区别是什么?

假设我希望用户会话在非活动 15 分钟后无效(而不是在第一次打开后 15 分钟)。其中哪一项对我有帮助?

我也知道我可以做session_set_cookie_params(),它可以设置用户的cookie 在一段时间内过期。但是,cookie 过期和服务器端的实际会话过期是不一样的;当cookie过期时,这是否也会删除会话?

我想到的另一个解决方案很简单 $_SESSION['last_time'] = time() 在每个请求上,并将会话与当前时间进行比较,并以此为基础删除会话。我希望有一个更“内置”的机制来处理这个问题。

谢谢。

【问题讨论】:

经过一番研究,我自己偶然发现了这个问题,可以在this *** question 上对这个问题有一个非常彻底的答案,尤其是为什么既不更新“session.gc_maxlifetime”也不更新“session.cookie_lifetime”可靠的方法。 【参考方案1】:

session.gc_maxlifetime 基于上次修改会话文件的时间。因此,每次修改会话文件或在单独的页面中调用 session_start() 时,gc_maxlifetime 的倒计时都会重新开始,并且用户保持“登录”状态。这是您正在寻找的价值。您可以通过 php 文件中的 ini_set() 来修改它,或者如果您有权访问它,则可以编辑 php.ini

session_cache_expire() 只控制 HTTP“过期”标头。此标头控制下载的页面内容在用户浏览器缓存中保留多长时间。

【讨论】:

感谢 session_cache_expire() 的解释。我无法从 PHP 文档中理解这一点。【参考方案2】:

每次调用session_start 都会更新会话文件时间戳(如果存在),用于计算是否已超过 session.gc_maxlifetime。

更重要的是,您不能依赖会话在 session.gc_maxlifetime 超过时间后过期。

PHP 在当前会话加载后对过期会话运行垃圾收集,并使用session.gc_probability 和session.gc_divisor 计算垃圾收集运行的概率。默认情况下,它的概率为 1%。

如果您的访问者数量较少,则非活动用户可能会访问本应过期并被删除的会话。如果这对您很重要,您将需要在会话中存储时间戳并计算用户处于非活动状态的日志。

此示例替换 session_start 并强制超时:

function my_session_start($timeout = 1440) 
    ini_set('session.gc_maxlifetime', $timeout);
    session_start();

    if (isset($_SESSION['timeout_idle']) && $_SESSION['timeout_idle'] < time()) 
        session_destroy();
        session_start();
        session_regenerate_id();
        $_SESSION = array();
    

    $_SESSION['timeout_idle'] = time() + $timeout;

【讨论】:

如果遵循此答案,请参阅有关不稳定网络上的 session_regenerate_id 和可能的竞争条件的说明:php.net/manual/en/function.session-regenerate-id.php【参考方案3】:

我花了一些时间寻找关于 php.ini 服务器设置如何产生的好答案 会话过期。我找到了很多信息,但花了一段时间才弄清楚原因 设置按照他们的方式工作。如果你和我一样,这可能对你有帮助:

会话存储为 cookie(客户端电脑上的文件)或服务器端的文件 在服务器上。这两种方法各有优缺点。

对于存储在服务器上的会话,使用了三个变量。

session.gc_probability session.gc_divisor session.gc_maxlifetime

(session.gc_probability/session.gc_divisor) 产生的概率 垃圾收集例程将运行。当垃圾收集器运行时,它 检查至少 session.gc_maxlifetime 未被访问的会话文件 并删除它们。

这在论坛帖子中得到了很好的解释(尤其是这个!) - 但是 确实会出现以下问题:

1.) 该概率如何应用?服务器什么时候掷骰子?

A: 每次 session_start() 被调用时,服务器都会掷骰子。 服务器上的任何活动会话。所以这意味着你应该看到垃圾 每调用 session_start() 100 次,收集器大约运行一次 如果你有默认的 session.gc_probability = 1 和 session.gc_divisor = 100

2.) 在低容量服务器上会发生什么?

A:当 session_start() 被调用时,它首先刷新会话并让 可用的会话值。这会更新会话文件上的时间 服务器。然后它掷骰子,如果它获胜(100 次机会中的 1 次),它会调用垃圾收集器。垃圾收集器然后检查所有会话 id 文件并查看是否有 任何符合删除条件的内容。

所以这意味着如果你是服务器上唯一的人,你的会话将 永远不要处于非活动状态,它看起来好像更改设置没有 影响。假设您将 session.gc_maxlifetime 更改为 10 和 session.gc_probability 到 100。这意味着垃圾收集器有 100% 的机会运行并且它 将清除过去 10 秒内未访问的所有会话文件。

如果您是服务器上唯一的人,您的会话将不会被删除。你需要 至少还有 1 个其他活动会话正在运行,让您的会话处于非活动状态。

因此,基本上,在低容量服务器上或在低容量时间 - 它可能是 MUCH 比垃圾收集器实际运行之前的 session.gc_maxlifetime 长,并且 会话实际上已被删除。在不知道这是如何工作的情况下,它可能 在你看来完全随机。

3.) 他们为什么使用概率?

答:性能。在更高容量的服务器上,您不需要垃圾收集器 在 session_start() 的每个请求上运行。它会使服务器变慢 不必要的。因此,根据您的服务器容量,您可能需要增加 或降低垃圾收集器运行的概率。

我希望这可以为您将事情联系在一起。如果你像我一样尝试过 session.gc_maxlifetime 它似乎没有工作(因为你试过了 在开发服务器上,以免打扰任何人),然后这篇文章 希望能帮您省去一些麻烦。

祝你好运!

【讨论】:

非常丰富的答案!应该在官方 PHP 文档中。谢谢! 非常明确的答案...但我只想指出,即使您使用 PHP 的默认基于文件的会话,cookie 仍然会发送到用户的浏览器。这是一个会话 cookie(传统上它们在关闭选项卡/窗口时过期)并且只包含它们的会话标识符。因此会话“问题”可能不仅限于服务器设置。如果用户的浏览器在选项卡/窗口关闭之后“记住”此 cookie,他们可能会丢失原本希望保留的会话。同样,您弄乱此 cookie 的设置可能会影响它们保持会话活动的能力。 来自appnovation.com/blog/session-garbage-collection-php ...在 Debian/Ubuntu 发行版中,默认情况下 PHP 禁用其会话垃圾收集机制。相反,它每半小时运行一次 cron 作业(参见脚本 /etc/cron.d/php5)以清除 /var/lib/php5/ 目录中的会话文件。【参考方案4】:

要检查当前值,这段代码会很有帮助:

$gc_maxlifetime = ini_get('session.gc_maxlifetime');
$gc_probability = ini_get('session.gc_probability');
$gc_divisor     = ini_get('session.gc_divisor');

【讨论】:

以上是关于PHP 中的会话超时:最佳实践的主要内容,如果未能解决你的问题,请参考以下文章

PHP ORM 最佳实践:从另一个对象类型中检索值:

跨页面存储会话数据最佳实践

维护 mgo 会话的最佳实践

WCF ChannelFactory 和连接超时的最佳实践

注销和记住会话的最佳 Worklight 实践

如何将消息插入取决于会话值的视图。 ASP.NET MVC。最佳实践