thinkphp提供了一个参数让我们配置session过期时间。

'SESSION_OPTIONS' = array(expire => 3600
);

然而这一配置是否真的有效？在多次测试之后，不遂人意。

why？那我们试着从源码上分析这个配置参数的，它是怎么让尝试着然我们的session过期的。

上图在中展现了框架对session有效期的操作，它设置了php.ini中的两个变量session.gc_maxlifetime和session.cookie_lifetime的值。

那么我们继续追问？这个两个参数就能让session按照自己设置的时间过期？

我们看看这两个参数代表着什么？

session.gc_maxlifetime:session的有效生存时间，过了这个时间session将进入销毁队列。

session.cookie_lifetime:值为0代表关闭浏览器，保存在客户端的sessionid将立即失效。

session.gc_maxlifetime这个是关键，但过了这个时间并不能马上销毁，这又涉及到session.gc_probability和session.gc_divisor，这两个参数决定超过gc.maxlifetime的session被销毁的概率，只有session被销毁才能算过期。

上面的的几个因素说明了单纯配置SESSION_OPTIONS就想让session过期是行不通的，至少这种过期是有概率成分的。

还有session比较糟糕的是他没有像cookie那样默认就有域的隔离，如果你没做session.path的设置，那么运行在同一个服务器上的不同项目session文件是存在同一个目录的，不同项目的对maxlifetime的配置就会相互影响，gc的垃圾回收机制会按照后来者的配置值进行删除，前者的设置无效了。

对于上面的一些问题，我们的解决方案是什么？

对于session的有效时间设置要在代码层进行，我们了解到session过期的本质是session文件的销毁，我们把被动销毁，改为主动销毁。

拿我的项目，举例说明，我要让一个登录在一个小时内过期，即在线时间为一个小时。

1.配置config。

'SESSION_OPTIONS' = array(//和其他运行在同一个服务器的session进行隔离，避免相互干扰'path' => '/session/tmp_s/','expire' => 3600,
)

2.在LoginController中的登陆接口，把会话开始时间主动存到session中，代码入下：

public function doLogin(){if(IS_AJAX){$param = I('param.');$this->userModel = D('Admin');$userInfo = $this->userModel->login($param);if(!$userInfo) { return $this->ajaxReturn(['code'=>false,'data'=>$this->userModel->getError()]);}$roleModel = D('Role');$role = $roleModel->getRoleInfo($userInfo['role_id']);session('adminId', $userInfo['auid']);session('adminName', $userInfo['username']);session('rule',$role['rule']);session('roleName', $role['rolename']);session('action', $role['action']);session('session_start_time', time());//记录会话开始时间！判断会话时间的重点！重点！重点！return $this->ajaxReturn(['code'=>true, 'data'=> '登录成功']);          }
}

3.在父类控制器 BaseController中的构造函数加上会话是否过期，让登录后的每一个请求都做会话过期判断，如下代码：

public function __construct(){parent::__construct();if(!session('adminId')){$this->redirect(U('Admin/Login/index'));};//判断会话是否过期if (time() - session('session_start_time') > C('SESSION_OPTIONS')['expire']) {session_destroy();//真正的销毁在这里！$this->redirect(U('Admin/Login/index'));}
}

上面的操作是双管齐下来了一个双保险，即对session.gc_maxlifetime和session.cookie_lifetime的设置，同时主动对会话过期时间做判断。如果gc没有回收过期的session，那么程序中会话过期判断就会进行补刀。

好了，今天‘对thinkphp有效的设置session过期时间’就介绍到这，希望对你有所帮助。

除特别注明外，本站所有文章均为作者原创。 或分享自己的编程经验，或探讨工作中的问题，或聊以人生趣事。 转载请注明出处来自 http://www.qiusuoweb.com/81.html