說到對談控制,大部人會想,那還不簡單嗎?不就是COOKIE和SESSION嗎?
的確就是cookie和session,但是你真的會用嗎?
幾年前面試的時候我碰到了一個這樣的問題:
如何保證session在1小時後失效?
當時我想這個還不簡單,將gc_maxlifetime設定為3600不就行了。當時面試的人說,回答的不對,這樣不能保證1小時後肯定失效。當然他也沒和我說原因。後來我回去後,仔細查詢了一番,才搞清楚。
回答這個問題前,先普及下cookie和session的知識。
儲存位置的不同:
cookie儲存在用戶端
session存放在伺服器端
他們之間的聯絡:
當伺服器端開啟session後,即
session_start();
後,會生成一個唯一ID(session_id),並通過響應頭告訴用戶端。用戶端拿到後,會將它儲存在cookie中。當用戶端再次發起請求時,會帶上這個資訊。伺服器端收到這個資訊後,就會去存放session檔案的目錄去查詢對應檔案,找到後會去提取session資訊。就是通過這樣的機制,伺服器端識別了用戶端的身份。
所以說,如果沒有cookie,session就沒有任何意義。
介紹完cookie與session的關係後,我們再來說說session的有效期。
SESSION的垃圾回收
一般php預設的session有效期為24分鐘。用戶端在超過這個時間後一直沒有發出請求,就會有可能觸發垃圾回收機制,刪除過期的session檔案。為什麼說有可能?這就要說說垃圾機制的原理了。
php的session垃圾回收是有概率的,是由session.gc_probability和session.gc_diviso確定概率的。概率為
session.gc_probability/session.gc_diviso
php預設gc_probability是1,而gc_diviso預設為100,也就是說每次請求觸發垃圾回收的概率為1/100。一般的,當我們網站存取量大的時候,可以將這個概率提高,比如1/1000,以減少io操作。
另外還有一點要說明:比如用戶端A,此時新建了一個session(session的有效期為10分鐘),過了8分鐘後,A又傳送了請求。這個時候他的session是2分鐘後到期,還是10分鐘後到期?
答案是10分鐘後。因為第二次請求後,伺服器端的session檔案的修改時間也改變了。垃圾回收是看session檔案最後的修改時間。但是大家再想想,對應的cookie有效期是不是也會更新?很可惜,cookie有效期不會更新。
如何保證1小時一定過期
現在,我們來看最初的問題,如何保證session檔案一個小時後一定過期。session的垃圾回收是概率事件,所有不能指望他了。
那通過設定cookie的有效期了,通過設定cookie_lifetime可以做到麼?
答案還是不行。cookie是在用戶端的,他沒有了,只是在下次請求的時候不能帶上這個cookie了,但對應的session檔案還是存在的。
其實這個問題最簡單的做法,是將session儲存在redis中,通過redis的鍵的過期時間來保證1個小時候,一定過期。該方法也是推薦的方法
但只能用php的話,要怎樣來完成呢?
可以為每一個session都設定一個時間戳,每次存取前都判斷時間戳。貼上程式碼:
<?php session_start([ 'cookie_lifetime' => 3600, 'gc_maxlifetime' => 3600 ]); if (isset($_SESSION['lifetime']) && $_SESSION['lifetime'] > time()) { // 未過期,更新session的lifetime及cookie的有效期 $_SESSION['lifetime'] += 3600; $tmpVal = $_COOKIE[session_name()]; setcookie(session_name(), $tmpVal, time() + 3600, '/'); } else { // 過期刪除 $_SESSION = []; if (isset($_COOKIE[session_name()])) { setcookie(session_name(), '', time() - 100, '/'); } session_destroy(); }
通過閱讀了該內容,相信大家對php的對談應該有了更深的理解。
以上就是PHP對談控制:cookie和session區別與用法深入理解的詳細內容,更多請關注TW511.COM其它相關文章!