PHP中如何保持SESSION以及由此引發(fā)的一些思考  最近的一個項目，里面有一個比較大的表單，用戶完成它需要很多時間，很多用戶花了千辛萬苦完成之后，一提交發(fā)現(xiàn)SESSION過期，系統(tǒng)退出了，所以引起了研究如何設置SESSION以及保持SESSION在線的需要，下面是一些心得體會。

什么是SESSION？
按照WIKI的解釋，SESSION是存在于兩個通信設備間的交互信息，在某一時間建立，經(jīng)過一定的時間后失效。常見的SESSION有：TCP SESSION、WEB SESSION（HTTP SESSION）、LOGIN SESSION等。

根據(jù)OSI模型中，會話實現(xiàn)的位置不同，SESSION主要分為幾種，一種是應用層會話，包括WEB SESSION（HTTP　SESSION）和telnet遠程登錄session；會話層實現(xiàn)的，包括Session Initiation Protocol（SIP）和Internet Phone Call；在傳輸層實現(xiàn)的有TCP　SESSION。

本文主要討論WEB SESSION，其一般有兩種：客戶端SESSION和服務器端SESSION，后一種最常見的屬于Java Beans提供的。

SESSION是做什么的？
在計算機領域，特別是網(wǎng)絡方面，SESSION使用的特別廣泛，也可以稱為是對話（Dialogue）、會話等，一般是指在兩個通信設備間存儲的狀態(tài)，有時也發(fā)生在用戶和計算機之間（Login　SESSION）。

區(qū)別于無狀態(tài)的通信，SESSION通常用來存儲通信狀態(tài)，因此通信的雙方至少有一方需要存儲SESSION的歷史記錄，從而實現(xiàn)兩者間的通信。

SESSION（WEB　SESSION）是怎么實現(xiàn)的？
瀏覽器和服務器之間進行HTTP通信時，通常會包含一個　HTTP Cookie 來標識狀態(tài)，通常會有一個唯一的　SESSIONID　，SESSION通常記錄著用戶的一些驗證信息和級別。

在幾中編程語言中最常用的Http Session Token是，JSESSIONID（JSP），PHPSESSID（PHP），ASPSESSIONID（ASP），這個標識通常由哈希函數(shù)產(chǎn)生，能夠 唯一表示這個用戶的身份，在服務器和客戶端通信時，作為GET或者POST的參數(shù)存儲在客戶端。

SESSION的實現(xiàn)方式通常有兩種，服務器端SESSION和客戶端SESSION，兩種方式各有優(yōu)缺點。

服務器端SESSION實現(xiàn)容易并且效率比較高，但是遇到負載均衡或者高可用性需求的時候，處理起來就比較困難，對于那種內(nèi)生系統(tǒng)不存在存儲設備的時候， 也是不可用的。負載均衡可以通過共享文件系統(tǒng)或者強制客戶只能登錄到一臺服務器上來實現(xiàn)，但是這樣會降低效率。對于沒有存儲的設備，也可以通過使用 RAM（參考參考資料6）來解決服務器端SESSION的實現(xiàn)，這種方法這對哪些客戶端鏈接有限的系統(tǒng)有效（諸如路由或者接入點設備）。

客戶端SESSION的使用可以解決服務器端SESSION的一些問題，比如避免了負載均衡的算法等，但是同時也會產(chǎn)生一些自身的問題?？蛻舳?SESSION使用Cookie和加密技術(shù)來在不同的請求間保存狀態(tài)。在每一個動態(tài)頁面結(jié)束后，會統(tǒng)計當前的SESSION，并把它發(fā)回客戶端。每次成功 請求后，會把cookie再發(fā)送到服務器端，來讓服務器“記起”這個用戶的身份?？蛻舳薙ESSION最重要的問題就是安全問題，一旦cookie被劫持 或者篡改了，用戶的信息的安全性就喪失了。

PHP中如何設置SESSION？
搭建好PHP的開發(fā)環(huán)境后，通過phpinfo()可以查看到與SESSION有關的部分包括：
SESSION模塊，在PHP V5.2.9版本中，一共有25個變量。其中，平時設置中常會用到的幾個有：

先來考慮第一個問題，SESSION多久會過期，他是如何過期的？如果要在PHP程序中使用SESSION，一定要先引用 session_start()，這個函數(shù)一執(zhí)行，就會在SESSION的存儲目錄（如果使用了file handler)生成一個SESSION文件，里面內(nèi)容是空的，同時瀏覽器會見里一個name為PHPSESSID的cookie，里面存儲著一個 hash出來的SESSION的名字。

SESSION的過期依賴于一個垃圾回收機制（Garbage Collection），SESSION創(chuàng)建后作為一個文件存放在服務器上，客戶端腳本每訪問一次SESSION中的變量，SESSION文件的訪問時間 就會進行更新。每次訪問都是根據(jù)客戶端存儲的SESSIONID去請求服務器中存儲的唯一的SESSION，當客戶端的cookie過期后，就無法知道要 訪問的是哪一個SESSION，盡管此時服務器上的SESSION文件還沒有被過期收回，這樣就會造成服務器資源的浪費。

但是同時，如果我們希望用戶的session馬上過期的話，我們就可以通過設置cookie的辦法來實現(xiàn)。SESSION的回收是在每次訪問頁面的時候進 行的，回收的機率由session.gc_probability，session_gc_divisor指定，默認士1/100。如果設置為1，則每次 超過了SESSION的生存周期去訪問的話，SESSION一定會被回收。

兩種需求：
1、保持SESSION不過期或延長SESSION過期時間；
2、使SESSION立即過期。

1、保持SESSION不過期和延長SESSION過期時間非常必要，特別是在內(nèi)部應用系統(tǒng)中或者有很大的表單的時候。想想你的老板在填寫一個表單，剛好 碰上午飯時間，留著這個表單等吃飯回來，填寫完剩余的內(nèi)容，提交后他看到什么，一般來說都是一個登錄界面。想要提高用戶體驗，關鍵是要讓老板的表單不出問 題，我們就必須延長SESSION的生存周期。

保持SESSION不過期和延長SESSION過期時間，可以通過設置session.gc_maxlifetime來實現(xiàn)，不過首先需要保證客戶端的 cookie不會在gc執(zhí)行回收之前失效。通過設置一個較長的gc_maxlifetime可以實現(xiàn)延長session的生存周期，可是對于不是所有請求 都會保持很久的應用來說，這么做對于服務器配置顯然不是一個最佳的選擇。
我們知道SESSION的回收機制是根據(jù)SESSION文件的最后訪問時間來判斷的，如果超過了maxlifetime，則根據(jù)回收機率進行回收。所以我們只需要定期的去訪問一下SESSION就可以了，而這可以通過刷新頁面來實現(xiàn)，根據(jù)這個思路，解決的方法就有了。

通過JS定期的去訪問頁面；
利用Iframe定期的刷新頁面；

直接利用程序發(fā)送HTTP請求，這樣就可以避免在頁面中嵌入其他的元素；

下面是利用JS發(fā)送請求實現(xiàn)的保持SESSION不過期的實現(xiàn)方法，這樣我們就只需要在需要SESSION保持長時間的頁面（比如大表單頁面）。

<img id=”phpImg” src=”http://www.phpplot.com/phpplot/session/sess_refresh.php?” width=”1″ height=”1″ />
其中URL后加入一個隨機數(shù)是為了避免這個鏈接的請求被瀏覽器緩存。

2、使SESSION立即過期的方法就比較多了，我們可以session_destroy()，也可以用上面的思路，請求一個session_destroy的頁面。

SESSION安全嗎？
PHP的手冊中明確寫出：SESSION并不能保證儲存在SESSION中的信息一定只能被他的創(chuàng)建者所看到。

如果想要安全的處理一些遠程的操作，那么HTTPS是唯一的選擇。最基本的，不要認為一個用戶信息在SESSION中存在就認為這個用戶一定就是他本人， 雖然SESSION中的信息會給你他已經(jīng)經(jīng)過了用戶名和密碼驗證的假象。所以，如果需要做一些修改密碼或者類似的事情的時候，讓用戶重新輸入密碼是一個比 較好的選擇。

早期的Apache版本并沒有采用COOKIE的方式來存儲PHPSESSID，而是采用的URL-rewrite，也就是每個URL后面都會加上 PHPSESSID=<sessionid>來表明它屬于那個激活的SESSION，新版的Apache已經(jīng)將這個屬性設置為默認關閉。

所以從這個意義上來講，延長SESSION的時間過長或者保持SESSION一直在線對于安全來說始終不是一件好事情。終極的解決辦法就是用戶提交跳轉(zhuǎn)到 登錄窗口，登錄后又能夠回到填寫頁面，并且所有的數(shù)據(jù)都還在。這個的實現(xiàn)方式現(xiàn)在用Ajax來解決應該沒什么困難，每隔一定時間就把當前的用戶數(shù)據(jù) POST到一個存儲位置，不管是XML或者JSON。

拾遺：
對于客戶端不支持JavaScript的情況可以采用的方法：
1、寫一個浮層，顯示在最頂層，如果用戶未禁用JS，則讓浮層消失；
2、將所有的INPUT都設置為disable，然后再用JS設置為enabled；
以上這兩種方式都是在JS被禁用的時候，所有功能都不能用，如何在JS被禁用的情況下使我們的應用仍然正常工作，這個貌似就比較困難。實現(xiàn)這個的所花的時間和所收到的效果大家要權(quán)衡一下。

最新評論