php - PHP 中的 session 超时 : best practices

Question

session.gc_maxlifetime 和 session_cache_expire() 之间的实际区别是什么？

假设我希望用户 session 在 15 分钟不活动(而不是首次打开后 15 分钟)后无效。其中哪一项可以帮助我？

我也知道我可以执行 session_set_cookie_params()，它可以将用户的 cookie 设置为在一段时间后过期。但是，cookie 过期和服务器端的实际 session 过期是不一样的；当 cookie 过期时，这是否也会删除 session ？

我的另一个解决方案很简单$_SESSION['last_time'] = time()在每个请求上，并将 session 与当前时间进行比较，并根据该时间删除 session 。不过，我希望有一个更“内置”的机制来处理这个问题。

谢谢。

Answer 1

我花了一些时间寻找关于 php.ini 服务器设置如何进行的一个好的答案 session 过期。我找到了很多信息，但花了一段时间才弄清楚为什么设置按照他们的方式工作。如果您和我一样，这可能对您有所帮助:

session 存储为 cookie(客户端 pc 上的文件)或服务器端存储为文件在服务器上。两种方法各有优缺点。

对于存储在服务器上的 session ，使用了三个变量。

session.gc_probabilitysession.gc_divisorsession.gc_maxlifetime

(session.gc_probability/session.gc_divisor) 产生的概率是垃圾收集例程将运行。当垃圾收集器运行时，它检查至少 session.gc_maxlifetime 未被访问的 session 文件并删除它们。

这一切在论坛帖子中都有很好的解释(尤其是这一篇!)——但是确实出现了以下问题:

1.) 如何应用该概率？服务器什么时候掷骰子？

A:服务器在每次调用 session_start() 时掷骰子服务器上的任何事件 session 。所以这意味着你应该看到垃圾每调用 100 次 session_start() 大约运行一次收集器如果您有默认的 session.gc_probability = 1 和 session.gc_divisor = 100

2.) 在低容量服务器上会发生什么？

A:当调用 session_start() 时，它首先刷新 session 并使您可用的 session 值。这会更新您的 session 文件上的时间服务器。然后它掷骰子，如果它赢了(100 次机会中有 1 次)它调用垃圾收集器。垃圾收集器然后检查所有 session ID 文件并查看是否有任何符合删除条件的。

所以这意味着如果你是服务器上唯一的人，你的 session 将永远不会停用，并且看起来好像更改设置没有影响。假设您将 session.gc_maxlifetime 更改为 10 并将 session.gc_probability到 100。这意味着垃圾收集器有 100% 的机会运行并且它将清除过去 10 秒内未访问的所有 session 文件。

如果服务器上只有您一个人，您的 session 将不会被删除。你需要至少有 1 个其他事件 session 正在运行，您的 session 将变为非事件状态。

所以基本上，在低容量服务器上或在低容量时间 - 它可能是 MUCH在垃圾收集器实际运行之前比 session.gc_maxlifetime 长，并且 session 实际上被删除了。在不知道这是如何工作的情况下，它可能对你来说完全是随机的。

3.) 他们为什么使用概率？

答:性能。在更高容量的服务器上，您不需要垃圾收集器在 session_start() 的每个请求上运行。它会减慢服务器速度不必要的。因此，根据您的服务器容量，您可能需要增加或降低垃圾收集器运行的可能性。

我希望这能为您把事情联系在一起。如果你像我一样尝试过session.gc_maxlifetime 并且它似乎没有用(因为你试过了在开发服务器上，以免打扰任何人)，然后这篇文章希望能为您省去一些麻烦。

祝你好运!