作者:唐进单 | 来源:互联网 | 2018-05-22 13:37
比如通过后台,删除某个session,让该用户登录状态失效
补充:
是不同会话之间操作session,可能只知道username这样的值。
回复内容:
比如通过后台,删除某个session,让该用户登录状态失效
补充:
是不同会话之间操作session,可能只知道username这样的值。
如果你使用 php 原生 的 session 实现的话。
搞清楚两个问题
- 你需要知道原生php在进行session操作的时候的生命周期。[php.session] 文档。
- 还要有一套具体实现流程。
来说说以上两个问题。
第一个问题
英文原文:
The callbacks specified in session_set_save_handler() are methods called by PHP during the life-cycle of a session: open, read, write and close and for the housekeeping tasks: destroy for deleting a session and gc for periodic garbage collection.
大意就是说,通过session_set_save_handler() 来指定一些回调方法,来供php在他的生命周期中调用。php 操作session的生命周期(life-cycle),分别为 open, read, write, close。在日常开发过程中,销毁 (destroy) 一个session,session垃圾清理机制会定期的去清理。(关于session的垃圾清理你可以在,php.ini文件中配置)
php默认管理sessiopn的方式是以文件形式存放在本地的硬盘上。(虽然很低效,但是很实用)以session_id作为文件名,文件的内容就是session中序列化的内容。
方法定义
bool session_set_save_handler ( callable $open , callable $close , callable $read , callable $write , callable $destroy , callable $gc [, callable $create_sid ] )
在 php 5.4.0 你可以通过实现 SessionHandlerInterface 接口或继承 SessionHandler 类来使用。
如果想使用自定义生成 session_id 的功能还要实现 SessionIdInterface。
session_set_save_handler
As of PHP 5.4.0 you may create session handlers using the SessionHandlerInterface or extend internal PHP handlers by inheriting from SessionHandler。
继承SessionHandler可以在系统默认的实现上做一些修改。实现SessionHandlerInterface需要完全重写php默认的session管理方式。
他们的特点就是你可以继续使用 session_start, session_id, $_SESSION 而无需理会他们底层是怎么实现的。
本人一直反对在 php 语言发行版中搭载 http 的功能。这使得php变得很笨重不容易扩展,我也从不使用php原生的http功能。我现在的php版本是5.4。在开发php项目中,我大多数是使用 symfony2 框架或 symfony2 httpfoundation bundle。
第一个问题就搞定了,来看看第二个问题
第二个问题, 具体实现流程
如果我们 使用 session_set_save_handler 方法。通过它我们就可以管理每一个session。
我们可以在每一session创建的时候,把session的id记录下来。
php // 一下以文件系统作为存储介质实现一个简单的 `session handler`
key = $key;
$this->savePath = session_save_path();
}
public function create_sid() {
// 生成 session id
$session_id = uniqid('sess_', true);
// 关键点 存储这个 id
db_store('session_ids', $session_id);
return $session_id;
}
// 通过 session id 读取 session 中数据的方法
public function read($id)
{
$data = parent::read($id);
return mcrypt_decrypt(MCRYPT_3DES, $this->key, $data, MCRYPT_MODE_ECB);
}
// 修改session中数据的方法
public function write($id, $data)
{
$data = mcrypt_encrypt(MCRYPT_3DES, $this->key, $data, MCRYPT_MODE_ECB);
return parent::write($id, $data);
}
// 简单实现,最好清除一下客户端 session_COOKIE
public function destroy($id) {
$file = "$this->savePath/sess_$id";
if (file_exists($file)) {
unlink($file);
}
return true;
}
}
// main fun
// config
ini_set('session.save_handler', 'files');
ini_set('session.save_path', './data/sessions'); //将 session 文件保存在项目中
// 实例化 handle
$handler = new MySessionHandler('mykey');
// 应用 handle
session_set_save_handler($handler, true);
// 可以使用 $handler 是完成一切工作
遗憾的是 session_set_save_handler 方法在 php5.5.1 版本之前并没有去管理生成 session_id,也就是实现 create_sid 方法是没有用的,因为 php5.5.1 之前的版本没有 SessionIdInterface 接口 session_set_save_handler 方法也没有对此接口做调整。
这也是我为什么不用 php 原生http的原因之一,如果使用symfony2的话,几乎没有任何限制,应为一切都是从 php://input 开始 从 php://output结束。
不废话了。
![]()
使用 handler 你就可以实现上面那样管理 session 用户。
php// 获取一个 session id
$a_sess_id = db_query('session_ids')[0];
// 获取session数据
$sess_data = $handler->read($a_sess_id);
// 修改这个session
$handler->write($a_sess_id, $new_data);
// 销毁这个 session
$handler->destroy($a_sess_id, $new_data);
希望对你有多帮助,还有建议所有看到这个"文章"(就叫文章吧)的朋友不要在使用 php 原生 http 的功能了,$_GET, $_SERVER, $_COOKIES, $_SESSION 等等如此,真的很丑陋,他是php万恶的根源之一。
[symfony HttpFoundation] 项目告诉你我们应该如何正确的使用php开发web。当然你最好直接使用 symfony
自己根据需要的索引(username等)和 session_id 在后台维护一个 session 池,然后就可以操作索引对应的 session 内容。
PHP 默认是文件保存 session 的,删除文件或者读取后操作数据都随你了。
用其他的像 memcache,redis 什么的会不会更容易些?
只能说提供一个思路,具体可行不可行还是要尝试。
首先理解什么是session,我们知道客户端是不存session的,只是存的一个COOKIEs,而服务器是怎么知道这个客户端对应的session的,实际上他是通过客户端带过来的COOKIEs去寻找的,获取的方法是通过这个session_id(),该函数如果不传参数的话,获取的要么是本次请求对应的session,要么是空,不可能是其他用户的session,如果传参数的话,首先你必须知道其他用户的session_id,但这个怎么拿,我也不知道。
京公网安备 11010802041100号