Session过期策略研究

最新推荐文章于 2022-05-27 23:07:25 发布
最新推荐文章于 2022-05-27 23:07:25 发布
阅读量360 收藏
点赞数
文章标签: php
原文链接:https://segmentfault.com/a/1190000004865098
版权

首先说一点新手认识中常见的误区:关闭浏览器session就过期了。这种说话是完全错误的,

session是否过期与客户端如何操作没什么必然关系,他只与服务器如何设置有关。

以下观点以以PHP语言举例,使用的是chrome浏览器[48.0.2564.116 (正式版本) m (32 位)](△注意这点,因为Firefox浏览器关闭后PHPSESSID会强行缓存,测试会导致不准)
2016年10月21日新增:
edge关闭后PHPSESSID悔刷新
但chrome与firfox都不会了。
猜测后两个浏览器不会是为了用户体验考虑。

每个用户访问网站,服务器会自动赋予用户一个session_id值,此时服务器与客户端(此处为浏览器)同时拥有着一份相同值的session_id值。

往后的所有包含SESSION数据增加,修改,删除,过期一切都是以session_id值,为基础,session_id值,就是像一把钥匙,沟通客户端与服务器端之间关于SESSION的一切操作。

那”关闭浏览器session就过期了”这种网上普遍流传的观点是如何出现的呢?

首先说明的是,如果服务器代码不进行特殊操作,展示出来的效果确实是”关闭浏览器session就过期了”,譬如有些网站关闭浏览器再打开就要重新登录,但是这不代表session过期了,session_id值依旧存在于服务端,session_id所指向的值是依旧存在的,以下代码可以很好的证明这一点,我关闭了浏览器甚至切换了浏览器,b.php永远都会打印出那个数据。

a.php:
040416_1334_Session1.png

040416_1334_Session2.png
b.php:
040416_1334_Session3.png

040416_1334_Session4.png

只要在session_start()前给session_id赋上一个初始值,那么当前会话就会以那个session_id值作为钥匙,去像服务器要数据。

所以在此处,b.php的session_id永远是”5op1k5moghb1hprgkifgh7nv71“,那么只要服务器的session_id值不过期,这段数据永远可以获得得到。

一次session_start就是一次新的会话,如果没有经过特意赋值,那么将会产生一个新的session_id,新的session_id和原来的”5op1k5moghb1hprgkifgh7nv71“对不上,客户端自然获取不到对应的session数据啦,那么就会出现”关闭浏览器session就消失这个误区”。

走出误区,我们来讨论一下session真正的过期策略吧。前面说了,session数据是否过期只与服务器有关,此处在php.ini修改session的过期策略配置:
040416_1334_Session5.png

三条红线分别影响着session的过期策略

Session.gc_probability = 1 //session删除几率的分子

Session.gc_divisor=1000 //session删除几率的分母

Session.gc_maxlifetime=1440 //24分钟删除一次一次

终上所述:默认的session过期机制为 24分钟删除一次,每个session_id会话被删除的几率为1/1000。

我们可以手动将三行配置都改成1,进行测试,那么我们会发现即使不关闭浏览器session值也是会过期的。(session值默认要刷新一遍才过期,所以即便都设置成1也要手动刷新一遍,这和session本身的机制有关)

weixin_34405925
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入理解session过期机制
qi_ruihua的专栏
07-14 1万+
首先得明白:session过期时间由两方面决定的;   1存储在客户端的$_COOKIE['PHPSESSID']的过期时间(默认cookie名称为PHPSESSID,可通过php.ini中的session.name修改。)   2.存储在服务器端的相对应的session文件(session文件名和上述cookie的值一一对应),默认为1440秒,即24分钟  ok,现在详细阐述上述两
【Linux运维-集群技术进阶】集群/分布式环境下5种session处理策略
陌上花开,可缓缓归矣
03-01 6929
前言在搭建完集群环境后,不得不考虑的一个问题就是用户访问产生的session如何处理。如果不做任何处理的话,用户将出现频繁登录的现象,比如集群中存在A、B两台服务器,用户在第一次访问网站时,Nginx通过其负载均衡机制将用户请求转发到A服务器,这时A服务器就会给用户创建一个Session。当用户第二次发送请求时,Nginx将其负载均衡到B服务器,而这时候B服务器并不存在Session,所以就会将用户
Tomcat的Session过期处理策略
流子的专栏
07-20 5540
tomcat容器实现类都继承了ContainerBase类,容器在启动的时候都会调用ContainerBase类的threadStart()方法,threadStart()方法如下:   Java代码   protected void threadStart() {          if (thread != null)           return;  
关于session的失效时间和过期
热门推荐
robin-fan的博客
10-23 14万+
Session基本是在我们做项目的时候,使用频率非常高的。 1、session类似于map是键值对的形式存在的。通过session.getAttribute("name");获取对应的name参数信息。 2、2.session过期时间是从session不活动的时候开始计算,如果session一直活动,session就总不会过期,从该Session未被访问,开始计时; 一旦Session被访问...
Spring mvc Interceptor 解决Session超时配置流程
smh821025的专栏
03-21 7854
最近公司内部框架中对Session超时这一功能未实现,由于采用iframe结构,Session超时后,当点击左侧系统菜单时,会在iframe的右侧再次弹出登陆框。 该问题是由于没有设置拦截器造成。 添加拦截器思路:当Session超时后,用户点击menu时,需要用Interceptor进行前项拦截,并判断此时session中是否还存在用户信息,如果不存在,将其指定登陆主页面。 如下代码:
phpcms web发布session过期问题解决
05-26
以上就是针对“phpcms web发布session过期问题”的解决策略,实践中可以根据实际需求和服务器环境进行适当调整。如果你遇到其他与源码或工具相关的问题,可以进一步研究phpcms的源代码和使用相关的开发工具进行调试...
浅谈Tomcat Session管理分析
09-30
在本文中,我们将深入探讨Tomcat的Session管理机制,这对于理解和优化Web应用程序的性能至关重要。Tomcat作为一个流行的Java Servlet容器,其...在实际应用中,应根据项目需求和部署环境来选择合适的Session管理策略
深入浅析TomCat Session管理分析
09-03
`expire()`方法则用于强制使Session过期,解除与其关联的所有对象。 **5. 性能优化** 为了优化性能,Tomcat允许配置Session的超时时间(`setMaxInactiveInterval()`),以及垃圾回收策略,比如基于内存压力或时间...
CI框架Session.php源码分析
10-25
`sess_time_to_update`设置决定了Session数据多久更新一次,防止长时间无操作导致的Session过期问题。`gc_probability`用于设置垃圾回收的概率,当达到一定概率时,系统会尝试回收不再使用的Session数据,释放资源...
PHP实现cookie跨域session共享的方法分析
10-16
原因是`setcookie()`的第三个参数`expire`应为一个UNIX时间戳,表示Cookie过期的具体时间点。要设置有效期15分钟,正确做法如下: ```php setcookie("sso", "e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5VckawQwl1TdE8d4Q5E7tW...
session丢失问题
huangyunjing的专栏
11-18 769
session丢失问题的解决 当采用window.open() 打开新的窗口时,经常会出现session丢失的问题,在使用Frame或者iFrame会使客户端不能写cookie,而Session是基于cookie的,所以使用Frame或者iFrame的页面也就不能保持Session. 使用IE内核的浏览器基本上都会存在这个问题;目前使用的是J2EE处理session,看大家的情况,PHP,ASP
Spring boot集成Redis实现sessions共享时,sessions过期时间问题分析
sunshinwong的专栏
05-17 2万+
Springboot鼓励零配置的方式,帮你做好大部分重复劳动的事,好到不能再好;具体的Redis安装方法和Springboot集成Redis方法,可以去搜索相关文章或参考该文章http://www.cnblogs.com/mengmeng89012/p/5519698.html。 当做用户权限管理时,一般都设置一个session过期时间,以确保用户长时间不操作时自动退出系统。 Spring s
session清理策略session提交策略
李义星
10-09 252
当缓存中的实体发生改变,并不会立即执行相关的sql语句。这使得session能够把几条sql语句合并成一条sql语句。如: tx = session.beginTransaction(); Customer customer = (Customer)session.load(Customer.class,new Long(1)); customer.setName("李义星"); ...
session详细解析(是不是过期、失效时间)
西秋海棠
02-16 2万+
session详细解析(是否过期、失效时间)   Session一直是我们做web项目经常使用的,以前没太注意,这次又细致的看了下!   1.session其实就是一个Map,键=值对,通过session.getAttribute("name");获得session中设置的参数   2.session过期时间是从什么时候开始计算的?是从一登录就开始计算还是说从停止活动开始计算?
session会话过期时间设置
前端蜗牛君
12-16 5万+
具体设置很简单,方法有三种:  (1)在主页面或者公共页面中加入:session.setMaxInactiveInterval(900);  参数900单位是秒,即在没有活动15分钟后,session将失效。设置为-1将永不关闭。  这里要注意这个session设置的时间是根据服务器来计算的,而不是客户端。所以如果是在调试程序,应该是修改服务器端时间来测试,而不是客户端。  (2)也是比较
Zookeeper-连接和会话的过期清理策略(ExpiryQueue)
pfjia的博客
06-25 3340
背景 简单的会话清理策略 数据结构 更新会话过期时间 清理过期会话 优缺点 分桶策略 具体实现 改进 update poll remove 连接和会话 总结 参考 背景 Zookeeper作为一个服务器,需要管理与客户端的连接和会话,如接受连接,网络IO,和过期清理等,此文章就介绍下Zookeeper的过期策略. 注:目前网络上的资料介绍的都是会话的过期策略,在...
springboot + security 自定义session过期处理方式
mushuntaosama的博客
12-27 2万+
security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法this.doLogout(request, response); this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpi
SpringSecurity --会话过期策略(我们的爱情是有保质期的)
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
04-16 268
package com.zcw.demospringsecurity.demo9; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.session.InvalidSessionStra...
session--过期刷新
war999的博客
05-27 1438
sqlalchemy session 过期刷新
Cookie与Session的原理与安全对比
"本文将深入探讨cookie和session在Web开发中的运用,分析它们的特性、区别以及使用场景。" 在Web应用程序中,cookie和session是两种关键的技术,用于管理用户会话状态,确保用户在访问网站时能保持登录状态并个性化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值