session.gc_maxlifetime和之间的实际区别是什么session_cache_expire()?
假设我希望用户会话在 15 分钟不活动(而不是第一次打开后 15 分钟)后无效。其中哪一项会帮助我?
我也知道我可以session_set_cookie_params()将用户的 cookie 设置为在一段时间内过期。但是,cookie 过期和服务器端的实际会话过期是不一样的;当cookie过期时,这是否也会删除会话?
我想到的另一个解决方案是
$_SESSION['last_time'] = time()
对每个请求都很简单,并将会话与当前时间进行比较,并基于此删除会话。我希望有一个更“内置”的机制来处理这个问题。
谢谢。
我花了一些时间寻找关于 php.ini 服务器设置如何使会话过期的好答案。我找到了很多信息,但花了一段时间才弄清楚为什么这些设置会以它们的方式工作。如果你像我一样,这可能对你有帮助:
会话存储为 cookie(客户端 PC 上的文件)或服务器端作为服务器上的文件。两种方法都有优点和缺点。
对于存储在服务器上的会话,使用了三个变量。
session.gc_probability session.gc_divisor session.gc_maxlifetime
(session.gc_probability/session.gc_divisor) 产生垃圾收集例程运行的概率。当垃圾收集器运行时,它会检查至少在 session.gc_maxlifetime 内未被访问的会话文件并删除它们。
这在论坛帖子中得到了很好的解释(尤其是这个!) - 但是确实出现了以下问题:
1.) 这个概率是如何应用的?服务器什么时候掷骰子?
答:每次在服务器上的任何活动会话期间调用 session_start() 时,服务器都会掷骰子。所以这意味着如果你有默认的 session.gc_probability = 1 和 session.gc_divisor = 100,你应该看到垃圾收集器大约每 100 次 session_start() 被调用运行一次
2.) 在低容量服务器上会发生什么?
答:当 session_start() 被调用时,它首先刷新会话并使会话值对您可用。这会更新服务器上会话文件的时间。然后它掷骰子,如果它获胜(100 次机会中的 1 次),它会调用垃圾收集器。然后垃圾收集器检查所有会话 id 文件并查看是否有任何符合删除条件的文件。
所以这意味着如果您是服务器上唯一的人,您的会话将永远不会处于非活动状态,并且看起来好像更改设置没有任何效果。假设您将 session.gc_maxlifetime 更改为 10,将 session.gc_probability 更改为 100。这意味着垃圾收集器有 100% 的机会运行,并且它将清除过去 10 秒内未访问的所有会话文件。
如果您是服务器上唯一的人,您的会话将不会被删除。您至少需要运行 1 个其他活动会话才能使您的会话处于非活动状态。
所以基本上,在低容量服务器上或在低容量时间 - 在垃圾收集器实际运行并且会话实际被删除之前,它可能比 session.gc_maxlifetime 长得多。在不知道它是如何工作的情况下,它对您来说可能看起来完全随机。
3.) 为什么他们使用概率?
一场表演。在更高容量的服务器上,您不希望垃圾收集器在 session_start() 的每个请求上运行。它会不必要地减慢服务器的速度。因此,根据您的服务器容量,您可能希望增加或减少垃圾收集器运行的概率。
我希望这能为你把事情联系在一起。如果您像我一样尝试过 session.gc_maxlifetime 但它似乎不起作用(因为您在开发服务器上尝试过它以免打扰任何人),那么这篇文章有望为您节省一些麻烦。
祝你好运!
每次调用session_start时,会话文件时间戳(如果存在)都会更新,用于计算 session.gc_maxlifetime 是否已超过。
更重要的是,您不能依赖会话在 session.gc_maxlifetime 超过时间后过期。
PHP 在当前会话加载后对过期会话运行垃圾收集,并使用session.gc_probability和session.gc_divisor计算垃圾收集运行的概率。默认情况下,它的概率为 1%。
如果您的访问者数量较少,则非活动用户可能会访问应该已过期并被删除的会话。如果这对您很重要,您将需要在会话中存储时间戳并计算用户处于非活动状态的日志。
此示例替换session_start并强制执行超时:
function my_session_start($timeout = 1440) {
ini_set('session.gc_maxlifetime', $timeout);
session_start();
if (isset($_SESSION['timeout_idle']) && $_SESSION['timeout_idle'] < time()) {
session_destroy();
session_start();
session_regenerate_id();
$_SESSION = array();
}
$_SESSION['timeout_idle'] = time() + $timeout;
}
session.gc_maxlifetime基于上次修改会话文件的时间。因此,每次修改会话文件或在单独的页面中调用 session_start() 时,gc_maxlifetime 的倒计时都会重新开始,并且用户保持“登录”状态。这是您正在寻找的价值。您可以通过 php 文件中的 ini_set() 来修改它,或者如果您有权访问它,则可以编辑 php.ini
session_cache_expire()仅控制 HTTP“过期”标头。此标头控制下载的页面内容在用户的浏览器缓存中保留多长时间。
要检查当前值,此代码将很有帮助:
$gc_maxlifetime = ini_get('session.gc_maxlifetime');
$gc_probability = ini_get('session.gc_probability');
$gc_divisor = ini_get('session.gc_divisor');