严格限制session在30分钟过期
要解决这个问题,首先要理解php中session的基本原理
- PHP中session有效期默认是1440秒(24分钟),也就是说,客户端超过24分钟没有刷新,当前session就会失效。当然如果浏览器关闭了,会话就结束了,session自然不存在了。
- session是存储在服务器端,根据客户端提供的SessionID来得到这个用户的文件,然后读取文件,得到变量的值,SessionID可以使用客户端的Cookie或Http1.1协议的Query_String来传递给服务端。
- php.ini关于session的相关设置
-
session.use_cookies:默认是是"1",代表sessionID使用cookie开传递,反之用query_string来传递; -
session.name:默认PHPSESSID,代表SessionID的存储变量名。可是实在为Cookie、Query_String...; -
session_cookie_lifetime:SessionID在客户端Cookie的存储时间,默认是0,代表浏览器关闭就过期。 -
session_gc_maxlifetime:表示Session数据在服务端存储的时间。超时则session数据就自动删除;
了解了session的基本原理,下面来看看都有什么方式可能解决这个问题。
-
方式一:设置session.gc_maxlifetime=1800
结果:不可行
原因:
1、这个php是用一定概率来运行session的gc,也就是session.gc_probability和session.gc_divisor的比值决定。其默认值分别是1和100,也就是1%的机会,php会在一个session启动时运行session gc,不能保证到30分钟就一定会过期,所以不严格。
2、那么设置一个大概率的清理机会呢?这也不妥,为什么?因为PHP使用stat Session 文件的修改时间来判断是否过期。如果增大这个概率一来会降低性能;二来PHP使用“一个”文件来保存和一个会话相关的Session变量,假设我5分钟前设置了一个a=1的Session变量,5分钟后又设置一个b=2的Session变量,那么这个Session文件的修改时间为添加b时刻的时间,那么a就不能在30分钟的时候被清理了。
3、PHP默认的(Linux为例)是使用/tmp作为Session的默认存储目录,并且手册也有如下描述:
##
Note:如果不同的脚本具有不同的Session.gc_maxlifetime数值但是共享了同一个地方存储会话数据,则具有最小数值的脚本会清理数据。此情况下,与session.save_path一起使用本命令,
##
也就是说,如果有两个应用都没有指定自己对立的save_path,一个设置了过期时间2 minutes(假设为A),一个设置为30minutes(假设为B)。那么每次当A的Session gc运行的时候,就会同时删除属于应用B的Session files。、、
所以,修改 session.gc_maxlifetime的方法不是完全严格正确的。
方式二:设置session.cookie_lifetime=1800
结果:不可行
原因:这个过期只是cookie的过期,这只能保证浏览器不会发送cookie(包含Session_ID)给服务端,但是通过构造的请求,还是可以使用这个Session_ID的。
方式三:
使用memcache、redis等。这是可以的。但是只有PHP呢?
方式四:
- 设置
session.gc_maxlifetime=1800,session.cookie_lifetime=1800; - 设置session值时加上时间错,过期时间
- 获取session值时,判断过期时间。
具体代码思路如下:
class Session{
/**
* 设置session
* @param String $name session name
* @param Mixed $data session data
* @param Int $expire 超时时间(秒)
*/
public static function set($name, $data, $expire=600){
$session_data = array();
$session_data['data'] = $data;
$session_data['expire'] = time()+$expire;
$_SESSION[$name] = $session_data;
}
/**
* 读取session
* @param String $name session name
* @return Mixed
*/
public static function get($name){
if(isset($_SESSION[$name])){
if($_SESSION[$name]['expire']>time()){
return $_SESSION[$name]['data'];
}else{
self::clear($name);
}
}
return false;
}
/**
* 清除session
* @param String $name session name
*/
private static function clear($name){
unset($_SESSION[$name]);
}
}
demo.php
session_start();
$data = '123456';
session::set('test', $data, 10);
echo session::get('test'); // 未过期,输出
sleep(10);
echo session::get('test'); // 已过期
