php会话控制
关于php的会话控制,我有惨痛的回忆┭┮﹏┭┮,而且还是两次。第一次是我在写博客的时候,当时花了很长时间再写,当我写完并检查后,点击了保存,我勒个去,直接跳转到登录页面,点返回也返回不了,辛苦全白瞎了。另外一次是面试的时候,面试官问我如何去保证session在1个小时后一定过期。当时我的答案是设置gc_maxlifetime设置为3600。当时面试的人说,回答的不对,这样不能保证1小时后肯定失效。当然他也没和我说原因。回到家后,我觉得必须要把这个问题搞清楚。去搜索下,搜索了鸟哥的博客里有一篇刚好讲这个的。我估计面试官之前也是看过这篇文章的。文章地址贴出来:https://www.laruence.com/2012/01/10/2469.html
cookie与session
cookie是存放在客户端的(浏览器中),它可以保存一些信息在客户端,而session是存放在服务器中。他们之间是如何配合工作的呢?
- 浏览器首次向服务端发送请求
- 服务端开启session,即session_start(),生成唯一ID(session_id),服务器端会在指定目录生成一个以该唯一ID命名的文件(用于保存该用户的会话信息)
- 服务端通过响应头将session_id发送给浏览器
- 浏览器拿到session_id后,将它保存在cookie中,一般名称为PHPSESSID。
当浏览器下一次再次访问的时候,浏览器会在请求头里带上session_id的值。因为请求头里有session_id,所以服务端就不会再去生成session_id,而是会去找有没有以session_id命名的文件,去获取该文件里的内容。
通过上面所有的机制,完成了会话控制。
SESSION的垃圾回收机制
通常的php默认session的有效时间是24分钟。如果,在session文件没有被删除前,客户端来了请求,就会更新指定session文件最后的修改事假。但如果一直没有请求来,session文件最后一次修改时间离当前时间超过24分钟,就会有可能触发session回收机制。
为什么说有可能呢?因为session的垃圾回收是有概率的,它的概率由session.gc_probability和session.gc_diviso确定。概率为session.gc_probability/session.gc_diviso
php默认gc_probability是1,而gc_diviso默认为100,也就是说每次请求触发垃圾回收的概率为1/100,这个请求是指任意浏览器或其他客户端的请求。当我们网站的pv值非常大的时候,可以考虑将概率提高,比如1/1000,减轻服务端的压力。
COOKIE的过期时间
当浏览器保存服务端请求头里的session_id值及过期时间后,会将它保存在cookie里,并设置cookie的过期时间。我们知道,当浏览器发送任意请求给服务端时,服务端会刷新session文件最后过期时间。但是,cookie的过期时间会不会变呢?
答案是不会,如想刷新cookie的过期时间,需要另写相应程序来完成。
问题的原因及解决
介绍完上面的知识后,我们来解决文章开头所说两个问题。首先是如果保证session一个小时后肯定过期。因为session的垃圾回收是概率事件,所以它并不靠谱。
那么转换下思路,通过设置cookie的有效期可行吗?答案是不行。cookie0在客户端里删除了,会导致下次请求的时候不会带上这个session_id值,服务端会生成新的session_id,但旧的session文件还是存在的。
其实这个问题最简单最高效的做法,也是推荐的方法,是将session保存在redis中而不是文本文件中,通过redis自身键过期机制来保证1个小时后,自动删除该键,达到想要的功能。
上面所说是通过redis来完成的,如果只靠php可以吗?
可以通过给每个session设置一个过期时间戳,来保证一定过期。下面贴上代码
<?php
session_start([
'cookie_lifetime' => 3600,
'gc_maxlifetime' => 3600
]);
if (isset($_SESSION['expires_in']) && $_SESSION['expires_in'] > time()) {
// 未过期,更新session的失效时间
$_SESSION['expires_in'] += 3600;
} else {
// 过期删除
$_SESSION = [];
session_destroy();
}
在看第二个问题,在写文章的时候如何保证会话不过期。该问题可以从两个方面去解决
- 浏览器定时向服务端发送请求,服务端设置cookie的过期时间及session过期时间,通过响应头来刷新浏览器保存的cookie的有效期。
当我们已经有了会话时,然后弄一个js定时请求,去刷新session和cookie的过期时间。
function refresh () {
setTimeout(function ()
{
$.get('./refresh.php?'+Math.random());
refresh()
}, 1000);
}
refresh();
服务端refresh代码如下:
session_start([
'cookie_lifetime' => 60,
'gc_maxlifetime' => 60
]);
if (isset($_SESSION['expires_in']) && $_SESSION['expires_in'] > time()) {
$_SESSION['expires_in'] += 60;
$sessionId = $_COOKIE[session_name()];
setcookie(session_name(), $sessionId, time() + 3600, '/');
} else {
$_SESSION = [];
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time() - 100, '/');
}
session_destroy();
}