PHP 中的会话超时：最佳实践

Posted 2023-02-24

【中文标题】PHP 中的会话超时：最佳实践

【英文标题】：Session timeouts in PHP: best practices

【发布时间】：2010-11-17 04:58:35

【问题描述】：

session.gc_maxlifetime 和 session_cache_expire() 之间的实际区别是什么？

假设我希望用户会话在非活动 15 分钟后无效（而不是在第一次打开后 15 分钟）。其中哪一项对我有帮助？

我也知道我可以做session_set_cookie_params()，它可以设置用户的cookie 在一段时间内过期。但是，cookie 过期和服务器端的实际会话过期是不一样的；当cookie过期时，这是否也会删除会话？

我想到的另一个解决方案很简单 $_SESSION['last_time'] = time() 在每个请求上，并将会话与当前时间进行比较，并以此为基础删除会话。我希望有一个更“内置”的机制来处理这个问题。

谢谢。

【问题讨论】：

经过一番研究，我自己偶然发现了这个问题，可以在this *** question 上对这个问题有一个非常彻底的答案，尤其是为什么既不更新“session.gc_maxlifetime”也不更新“session.cookie_lifetime”可靠的方法。

【参考方案1】：

session.gc_maxlifetime 基于上次修改会话文件的时间。因此，每次修改会话文件或在单独的页面中调用 session_start() 时，gc_maxlifetime 的倒计时都会重新开始，并且用户保持“登录”状态。这是您正在寻找的价值。您可以通过 php 文件中的 ini_set() 来修改它，或者如果您有权访问它，则可以编辑 php.ini

session_cache_expire() 只控制 HTTP“过期”标头。此标头控制下载的页面内容在用户浏览器缓存中保留多长时间。

【讨论】：

感谢 session_cache_expire() 的解释。我无法从 PHP 文档中理解这一点。

【参考方案2】：

每次调用session_start 都会更新会话文件时间戳（如果存在），用于计算是否已超过 session.gc_maxlifetime。

更重要的是，您不能依赖会话在 session.gc_maxlifetime 超过时间后过期。

PHP 在当前会话加载后对过期会话运行垃圾收集，并使用session.gc_probability 和session.gc_divisor 计算垃圾收集运行的概率。默认情况下，它的概率为 1%。

如果您的访问者数量较少，则非活动用户可能会访问本应过期并被删除的会话。如果这对您很重要，您将需要在会话中存储时间戳并计算用户处于非活动状态的日志。

此示例替换 session_start 并强制超时：

function my_session_start($timeout = 1440) 
    ini_set('session.gc_maxlifetime', $timeout);
    session_start();

    if (isset($_SESSION['timeout_idle']) && $_SESSION['timeout_idle'] < time()) 
        session_destroy();
        session_start();
        session_regenerate_id();
        $_SESSION = array();
    

    $_SESSION['timeout_idle'] = time() + $timeout;

【讨论】：

如果遵循此答案，请参阅有关不稳定网络上的 session_regenerate_id 和可能的竞争条件的说明：php.net/manual/en/function.session-regenerate-id.php

【参考方案3】：

我花了一些时间寻找关于 php.ini 服务器设置如何产生的好答案 会话过期。我找到了很多信息，但花了一段时间才弄清楚原因 设置按照他们的方式工作。如果你和我一样，这可能对你有帮助：

会话存储为 cookie（客户端电脑上的文件）或服务器端的文件 在服务器上。这两种方法各有优缺点。

对于存储在服务器上的会话，使用了三个变量。

session.gc_probability session.gc_divisor session.gc_maxlifetime

(session.gc_probability/session.gc_divisor) 产生的概率 垃圾收集例程将运行。当垃圾收集器运行时，它 检查至少 session.gc_maxlifetime 未被访问的会话文件 并删除它们。

这在论坛帖子中得到了很好的解释（尤其是这个！） - 但是 确实会出现以下问题：

1.) 该概率如何应用？服务器什么时候掷骰子？

A: 每次 session_start() 被调用时，服务器都会掷骰子。 服务器上的任何活动会话。所以这意味着你应该看到垃圾 每调用 session_start() 100 次，收集器大约运行一次 如果你有默认的 session.gc_probability = 1 和 session.gc_divisor = 100

2.) 在低容量服务器上会发生什么？

A：当 session_start() 被调用时，它首先刷新会话并让 可用的会话值。这会更新会话文件上的时间 服务器。然后它掷骰子，如果它获胜（100 次机会中的 1 次），它会调用垃圾收集器。垃圾收集器然后检查所有会话 id 文件并查看是否有 任何符合删除条件的内容。

所以这意味着如果你是服务器上唯一的人，你的会话将 永远不要处于非活动状态，它看起来好像更改设置没有 影响。假设您将 session.gc_maxlifetime 更改为 10 和 session.gc_probability 到 100。这意味着垃圾收集器有 100% 的机会运行并且它 将清除过去 10 秒内未访问的所有会话文件。

如果您是服务器上唯一的人，您的会话将不会被删除。你需要 至少还有 1 个其他活动会话正在运行，让您的会话处于非活动状态。

因此，基本上，在低容量服务器上或在低容量时间 - 它可能是 MUCH 比垃圾收集器实际运行之前的 session.gc_maxlifetime 长，并且 会话实际上已被删除。在不知道这是如何工作的情况下，它可能 在你看来完全随机。

3.) 他们为什么使用概率？

答：性能。在更高容量的服务器上，您不需要垃圾收集器 在 session_start() 的每个请求上运行。它会使服务器变慢 不必要的。因此，根据您的服务器容量，您可能需要增加 或降低垃圾收集器运行的概率。

我希望这可以为您将事情联系在一起。如果你像我一样尝试过 session.gc_maxlifetime 它似乎没有工作（因为你试过了 在开发服务器上，以免打扰任何人），然后这篇文章 希望能帮您省去一些麻烦。

祝你好运！

【讨论】：

非常丰富的答案！应该在官方 PHP 文档中。谢谢！

非常明确的答案...但我只想指出，即使您使用 PHP 的默认基于文件的会话，cookie 仍然会发送到用户的浏览器。这是一个会话 cookie（传统上它们在关闭选项卡/窗口时过期）并且只包含它们的会话标识符。因此会话“问题”可能不仅限于服务器设置。如果用户的浏览器在选项卡/窗口关闭之后“记住”此 cookie，他们可能会丢失原本希望保留的会话。同样，您弄乱此 cookie 的设置可能会影响它们保持会话活动的能力。

来自appnovation.com/blog/session-garbage-collection-php ...在 Debian/Ubuntu 发行版中，默认情况下 PHP 禁用其会话垃圾收集机制。相反，它每半小时运行一次 cron 作业（参见脚本 /etc/cron.d/php5）以清除 /var/lib/php5/ 目录中的会话文件。

【参考方案4】：

要检查当前值，这段代码会很有帮助：

$gc_maxlifetime = ini_get('session.gc_maxlifetime');
$gc_probability = ini_get('session.gc_probability');
$gc_divisor     = ini_get('session.gc_divisor');