session自动退出登录解决方法

最新推荐文章于 2022-02-21 10:51:42 发布
原创 最新推荐文章于 2022-02-21 10:51:42 发布 · 5.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了PHP session失效的根本原因及其解决方法,包括设置session.gc_divisor、session.gc_maxlifetime和session.cookie_lifetime,同时介绍了如何通过检查设置路径和使用session_get_cookie_params()函数来诊断问题。此外,文章还解释了PHP session处理机制的独特之处,以及如何避免多个PHP应用共享session目录导致的安全性和效率问题。

先说说现象:今天登录9街后台的时候,很奇怪一登录就退出,后台代码一直没有改动过,查了一下原因,找到了根本原因,后面会贴上找到的相关文档。解决办法就是在产生的session的页面session_star();加上以下三句代码:

ini_set("session.gc_divisor", 1);  
ini_set("session.gc_maxlifetime", 5);  
ini_set("session.cookie_lifetime", 10); //指定cookie的生命周期

同时也可以用查看设置路径是否有问题 

print_r(session_get_cookie_params())

session每个会话都会自动创建sessionid文件,可用session_id()获取当前产生的sessionid值,也可以赋值通过session_id($id)获取某个session对应的ID,所以在浏览器禁用cookie的时候,每次触发session_start()都会新产生一个sessionid文件就要用isset($_GET['PHPSESSID'])(等同于常量  SID)判断是否存在已知sessionid文件. 

//当浏览器cookie时,要判断当前sessionid是否已存在  
if(isset($_GET['PHPSESSID'])){  
     session_id($_GET['PHPSESSID']);  
}  
session_start();

以下是转摘网上文档

首先 gc是什么?

gc, 是garbage collection 的简称.这个进程一般都跟着每起一个SESSION而开始运行的.gc目的是为了在session文件过期以后自动销毁删除这些文件.

1、session_gc_probaility
PHP默认不是每个SESSION启动都会启动一个GC来跟踪。这个参数是控制gc跟session启动概率。默认 1。值越大,概率越大。

2、session.gc_divisor
功能同上。 默认100。值越小,概率越大。

3、session.gc_maxlifetime 
超过设定时间,gc就认为是垃圾文件(每一次访问会自动更新到更新文件,maxlifetime指的是一直没有访问该session文件,每访问一次重新计算时间(这点和cookie不同,cookie是累计的),到了时间session机制会视它为垃圾文件,sesstion_star()会根据GC概率去清楚垃圾session文件)。

总结
session_gc_probaility和session.gc_divisor是一对控制gc启动的概率的两个参数。前者是分子,后者是分母。默认是1/100。 1%的几率。 也就是说100个请求中只有一个gc会伴随100个中的某个请求而启动。
session处理是所有的Web应用都必须面对的问题。PHP中对session有效期的处理,和其他的解决方案有着很大的不同,这是和PHP的工作机制相关的。

     在传统的client/server应用中,对于session失效的情况,可以交给网络协议自己来处理。无论是client端主动关闭连接,还是因为网络异常而导致的连接中断,server端都能够得到通知,触发连接中断的事件。只要编程响应这一事件,执行指定的操作即可。
       但对于web应用来说,情况却完全不一样。HTTP协议本身是无状态的,也就是说,每当client/server完成一次请求/响应的过程后,连接就会被断开。在断开连接以后,server并不知道client是否继续“在线”,还会继续发送下一次请求。
       换句话说,无论client端的用户已经关闭了浏览器窗口,还是用户仅仅在阅读当前网页并准备在下一秒钟继续浏览,或者用户因为Windows崩溃/停电/硬盘坏掉/网线被拔/地球爆炸而彻底无法再发送下一个请求,server都一无所知。(在HTTP 1.1中,浏览器可以通过keep-alive参数,来通知server不要在响应请求后主动断开连接,从而实现物理上的长连接。但是,这只是为了提高网络传输的性能而采取的措施,HTTP 在逻辑上仍然是无状态的。)因此,只能通过某种模拟的方式来判断当前session是否有效。如果某个session在超过一段时间后没有对server 端发出请求,server都会判断用户已经“离线”,当前session失效,并触发连接中断的事件。要做到这一点,server需要运行一个后台线程,定时扫描所有的session信息,判断session是否已经超时。
       PHP处理session的原理也不例外,但是在具体的实现方式上,却与众不同。这是因为,由于PHP的工作机制,它并没有一个后台线程,来定时地扫描session信息并判断其是否失效。它的解决之道是,当一个有效请求发生时,PHP会根据某个概率,来决定是否调用一个GC(Garbage Collector)。
       GC的工作,就是扫描所有的session信息,用当前时间减去session的最后修改时间(modified date),同配置参数(configuration option)session.gc_maxlifetime的值进行比较,如果生存时间已经超过gc_maxlifetime,就把该session删除。
       这是很容易理解的,因为如果每次请求都要调用GC代码,那么PHP的效率就会低得令人吃不消了。这个概率取决于配置参数 session.gc_probability/session.gc_divisor的值(可以通过php.ini或者ini_set()函数来修改)。
       默认情况下,session.gc_probability = 1,session.gc_divisor=100,也就是说有1%的可能性会启动GC。这三个参 数,session.gc_maxlifetime/session.gc_probability/session.gc_divisor都可以通过 php.ini或者ini_set()函数来修改。但要记得,如果使用ini_set()函数的话,必须在每一个页面的开始处都调用 ini_set()。
这又导致了另外一个问题,gc_maxlifetime只能保证session生存的最短时间,并不能够保存在超过这一时间之后session信息立即会得到删除。因为GC是按概率启动的,可能在某一个长时间内都没有被启动,那么大量的session在超过 gc_maxlifetime以后仍然会有效。当然,发生这种情况的概率很小,但是如果你的应用对 session的失效期要求很精确的话,这会导致很严重的问题。解决这个问题的一个方法是,把 session.gc_probability/session.gc_divisor的机率提高,如果提到100%,就会彻底解决这个问题,但显然会对性能造成严重的影响。另一个方法是放弃PHP的GC,自己在代码中判断当前session的生存时间,如果超出了 gc_maxlifetime,就清空当前session。
       PHP中的session有效期默认是1440秒(24分钟),也就是说,客户端超过24分钟没有刷新,当前session就会失效。要修改这个默认值,正确的解决办法是修改配置参数session.gc_maxlifetime。
我曾经在网上搜索过这个问题的解决方式,找到的结果千奇百怪。
       有的说要设置“session_life_time”,据我知所,PHP中没有这个参数。有的说要调用session_set_cookie_params,或者设置 session.cookie_lifetime,这仅仅用于设置client端cookie的生存时间,换言之,只当client端cookie的生存时间小于server端的session生存期时,修改这个值才有效,并且最长不能超过server端的session生存期,原因很简单,当 server端的session已经失效时,client端cookie的生存时间再长也是没有意义的。还有的说要调用 session_cache_expire,这个参数用于通知浏览器和proxy,当前页面的内容应该被缓存多长时间,和session的生存期并没有直接关系。
       听起来,这种解决方案很完美。但是,当你在实际中尝试修改session.gc_maxlifetime的值的时候,你很可能会发现,这个参数基本不起作用,session有效期仍然保持24分钟的默认值。甚至可能出现,在开发环境下工作正常,在服务器上却无效!
为了彻底解决这个问题,需要对PHP的工作细节进行进一步的分析。
在默认情况下,PHP 中的session信息会以文本文件的形式,被保存在系统的临时文件目录中。这个路径由配置参数session.save_path指定。在Linux下,这一路径通常为\tmp,在 Windows下通常为C:\Windows\Temp。当服务器上有多个PHP应用时,它们会把自己的session文件都保存在同一个目录中(因为它们使用同一个session.save_path参数)。同样地,这些PHP应用也会按一定机率启动GC,扫描所有的session文件。
问题在于,GC在工作时,并不会区分不同站点的session。举例言之,站点A的gc_maxlifetime设置为2小时,站点B的 gc_maxlifetime设置为默认的24分钟。当站点B的GC启动时,它会扫描公用的临时文件目录,把所有超过24分钟的session文件全部删除掉,而不管它们来自于站点A或B。这样,站点A的gc_maxlifetime设置就形同虚设了。
       找到问题所在,解决起来就很简单了。在页面的开始处调用session_save_path()函数,它能够修改session.save_path参 数,把保存session的目录指向一个专用的目录,例如\tmp\myapp\。这样,gc_maxlifetime参数就工作正常了。
       使用公用的session.save_path还会导致安全性问题,因为这意味着,同一台服务器上的其它PHP程序也可以读取你的站点的session文 件,这可能被用于黑客攻击。另一个问题是效率:在一个繁忙的站点中,可能存在成千上万个session文件,而把许多不同网站的session文件都放在 同一个目录下,无论是对单个文件的读写,还是遍历所有文件进行GC,都无疑会导致性能的降低。因此,如果你的PHP应用和别的PHP应用运行在同一台服务 器上的话,强烈建议你使用自己的 session.save_path。
       严格地来说,这算是PHP的一个bug。当PHP在进行GC时,它应该区别来自不同站点的session文件,并应用不同的gc_maxlifetime值。目前,最新的PHP 5.2.X仍然存在这个问题。
       上文说到,在一个繁忙的站点中,可能存在成千上万个session文件,即使区分了不同站点的session.save_path目录,单个站点的session文件数目仍然可能导致效率问题。





garbage-php:这是我在PHP中的测试模块脚本
05-17
垃圾PHP 这是我在PHP中的测试模块/脚本。要在PHP中进行许多开发,我需要测试某些脚本或某种模块。 没有哪个定义项目将它们放在这里。 有时它对我有帮助。 谢谢
emall自动退出解决方法
10-30
标题中的“emall自动退出”指的是在使用名为“ecmall”的电子商务平台时,用户登录后系统会频繁地无故自动登出,导致无法正常浏览和操作。这种情况可能是由于多种原因引起的,包括但不限于以下几点: 1. **Cookie...
浅谈PHP5中垃圾回收算法(Garbage Collection)的演化
weixin_34090643的博客
02-27 127
前言 PHP是一门托管型语言,在PHP编程中程序员不需要手工处理内存资源的分配与释放(使用C编写PHP或Zend扩展除外),这就意味着PHP本身实现了垃圾回收机制(Garbage Collection)。现在如果去PHP官方网站(php.net)可以看到,目前PHP5的两个分支版本PHP5.2和PHP5.3是分别更新的,这是因为许多项目仍然使用5.2版本的PHP,而5.3版本对5.2并不是完全兼...
PHP垃圾回收机制(Garbage Collection . GC)
02-10 583
PHP垃圾回收机制(GarbageCollection . GC)   PHP把变量保存在zval容器里面。容器,container,可以想像成一块存储区域,或者一个盒子。 盒子里面包括以下几部分 (1)    Type:  string (2)    Value:this is (3)    Is_ref:  // 是否为引用 bool 值 (4)    Refcount: /
深入理解PHP的GC(Garbage collection)问题
lxw1844912514的博客
06-07 753
一.常见性能问题分类 class ClassA { public $pro; } function foo() { // 堆:堆上内存跟函数生命周期没关系,函数结束后仍然占内存,堆上垃圾自动释放 // 栈:函数结束后内存释放掉 //java: 分带回收 //php; 引用计数 $i = 100000; while ($i--) { $var = new ClassA(); $var->pro = $va
session退出登陆
yangfanlei的专栏
07-30 489
//使用SESSION必须先开启session session_start(); //彻底删除session //删除变量 session_unset(); //删除session文件 session_destroy(); //删除,session中的某一个 unset($_SESSION['cart']);
nginx反向代理导致session失效的问题解决
09-29
在本文中,我们将深入探讨一个常见的问题:如何解决由Nginx反向代理导致的Session失效问题。这个问题通常发生在使用Nginx作为前端服务器,将用户请求转发到多个后端应用服务器的环境中。在这样的架构中,Session管理...
asp.net 退出登陆(解决退出后点击浏览器后退问题仍然可回到页面问题)
10-30
总结来说,为了解决用户在退出登录后点击浏览器后退按钮返回到原页面的问题,我们不仅需要在服务器端清除Session,还要控制浏览器的缓存和页面跳转行为。通过上述提到的后端和前端结合的方法,可以有效地解决这一...
ASP.NET在IE10中无法判断用户已登入及Session丢失问题解决方法
01-02
点击其它菜单,页面总会自动重新退出登录页,后检查发现,IE10送出的HTTP头,和.AUTH Cookie都没问题,但使用表单验证机制(FormsAuthentication)却无法判断该用户已登入,保存的Session总会丢失.后查实这是ASP.NET 2.0,...
java 实现session退出登录
hello world
01-22 2637
html页面 <a href="javascript:void(0)" onclick="logout()">退出登录</a> js文件 // 退出登录 function logout() { $.ajax({ async: false, type: "POST", url: '/logout', contentType: "application/x-www-form-urlencoded; charset=
session登录退出
qq_39095899的博客
05-16 2330
session登录退出
Session控制登录登出
chenyl
01-11 6793
package com.session.demo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.web.bind.annotation.GetMap
使用session控制web登录退出
zhouhangzooo的博客
06-08 1802
title: 使用session控制web登录退出 date: 2019-06-08 22:29:00 tags: [“Java”, “JSP”] 今天给大家说一个session的问题,首先是session的使用方法: 使用 <% session().setAttribute(“isLogin”, “true”); %> 获取/逻辑判断 <% session.getAttrib...
通过Session 登入/登出
hewusheng10的专栏
02-04 1020
地址: http://struts2.group.iteye.com/group/wiki/1654-18-through-session-login-logout 在本章我们将通过Session创建一个login/logout程序.该程序会对用户进行身份验证.每当你运行的时候它将获取用户id和密码(用户名/密码都是"admin").当两个字段都是正确的,显示欢迎页面. 在struts.x
【l转】php中session过期时间设置及回收机制详解
aidenliu的专栏
07-02 6324
<br />php中session过期时间设置及回收机制详解: <br /> 修改php中的session过期时间可以修改php配置文件php.ini中的session.gc_maxlifetime即可。 <br /> 当php每发出一次请求时,会有1/100的概率(默认值)触发"session回收"。如果"session回收"发生,那就会检查/tmp/sess_*的文件,如果最后的修改时间到现在超过了1440秒(gc_maxlifetime的值),就将其删除,意味着这些session过期失效。 <br
Region Server意外退出
小菜鸟的成长之路
03-25 594
集群突然nagios报出一台regionserver挂了。顿时忙碌起来。 上去一看,从log中看到这样一条信息  ERROR org.apache.hadoop.hbase.regionserver.HRegionServer: ZooKeeper session expired 之后, regionserver就理直气壮地退出了。 于是查了下代码,看到了在org.apache.hadoo...
session自动退出登录问题
精彩人生
02-05 1697
先说说现象:今天登录9街后台的时候,很奇怪一登录退出,后台代码一直没有改动过,查了一下原因,找到了根本原因,后面会贴上找到的相关文档。解决办法就是在产生的session的页面session_star();加上以下三句代码: PHP Code复制内容到剪贴板 ini_set("session.gc_divisor", 1);  ini_set("session.gc_maxli
Session退出登录
weixin_34217711的博客
04-08 208
Session.Abandon();Response.Redirect("../");Response.Buffer = true;Response.ExpiresAbsolute = DateTime.Now.AddSeconds(-1);Response.Expires = 0;Response.CacheControl = "no-cache";
php 超时自动登出
帆酱的博客
02-21 1379
用户登录系统一定时间后如果没有操作就自动退出 //超时自动登出 session_start(); if(isset($_SESSION['expiretime'])) { if($_SESSION['expiretime'] < time()) { unset($_SESSION['expiretime']); // header('Location: logout.php?TIMEOUT'); // 登出 echo retJson(401.
如何解决系统自动删除session的问题
最新发布
09-19
<think> 首先,用户的问题是:“我想查找解决系统自动删除session问题的方法 请问解决系统自动删除session问题的方法”。意思是要查找解决session自动删除的问题。 我需要回顾系统级指令: - 所有行内数学表达式必须使用 $...$ 格式。 - 独立公式使用 $$...$$ 格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如 [^1]。 用户提供了引用内容: - 引用[1]:讨论了跨域session清除问题,平台退出登录后无法清除子系统的session。 - 引用[2]:关于session自动退出登录解决方法,加了代码来解决。 - 引用[3]:详细解释了Session和Cookie的关系,以及Token解决方案。 - 引用[4]:关于Spring Security和Vue解决跨域和session问题。 用户说这些引用仅供参考,不是用户的真实需求,我需要参考用户上一次的问题和我的回答。但在这个对话中,这是第一次交互,所以我应该基于用户当前的问题和提供的引用。 用户的问题是关于“系统自动删除session问题”,意思是session自动删除或过期,导致用户登录状态丢失。引用[2]提到“session自动退出登录解决方法”,这与用户的问题直接相关。 关键点: - Session自动删除可能是由于超时、无效配置或浏览器问题。 - 解决方法包括:配置session超时时间、使用持久化存储、添加额外的代码等。 从引用[2]:"解决办法就是在产生的session的页面session_start();加上以下三句代码:" 但具体代码未给出,所以我需要基于一般知识。 一般解决方法: 1. **配置session超时时间**:在服务器端设置session的过期时间,例如在PHP中使用session.gc_maxlifetime,或在Java中配置web.xml。 2. **使用持久化存储**:将session数据存储在数据库中或Redis中,而不是内存中,以防止服务器重启后丢失。 3. **增加session心跳检测**:使用Ajax定期发送请求以保持session活跃。 4. **检查浏览器Cookie设置**:确保浏览器接受Cookie,因为session依赖于Cookie存储session ID。 5. **使用Token机制**:替代session,使用JWT(JSON Web Token)或其他无状态token,避免session管理问题。引用[3]提到Token解决方案。 6. **添加代码保持session活跃**:如在每个页面添加脚本发送心跳请求。 用户提到了“系统自动删除session”,这可能是指session意外过期或被清除。 结构回答: - 逐步解释问题。 - 提供解决方法。 - 使用中文。 - 在末尾生成相关问题。 回答结构: 1. **解释session自动删除的原因**:通常是由于session超时、服务器配置问题或浏览器问题。 2. **解决方法**: - 配置session超时时间。 - 使用session持久化。 - 添加keep-alive机制。 - 考虑Token替代方案。 3. **基于引用[2]的代码示例**:既然引用[2]提到加代码,我可以给出一个通用例子,比如在PHP中。 4. **引用标识**:在相关部分添加引用。 生成相关问题。 最后,生成相关问题,如示例中的“§§相关问题§§”。 确保LaTeX:用户问题中没有数学内容,所以可能不需要数学表达式,但如果有变量,使用$...$。这里可能不需要。 回答步骤: - 开头回应问题。 - 逐步解释原因和解决方案。 - 结尾生成问题。 用户引用[2]说“session_star();” 可能是拼写错误,应为 session_start();。 在代码中,可能需要补充缺失的部分。 最终回答。 </think> ### 解决系统自动删除session问题的方法 系统自动删除session问题通常指用户在操作过程中session意外过期或被清除,导致登录状态丢失、用户被强制退出等现象。这可能是由于session超时设置不合理、服务器配置问题、浏览器Cookie限制或服务器资源管理机制引起的(如垃圾回收)。以下我将基于常见原因和解决方案逐步解释,帮助您解决此问题。解决方案需结合服务器环境和编程语言进行调整,我会提供通用方法和示例代码。 #### 步骤1: 理解session自动删除的原因 - **session超时**:服务器默认设置session有效期(如30分钟),如果用户不活动超过该时间,session会被自动清除[^2][^3]。 - **服务器配置问题**:服务器资源回收机制(如PHP的垃圾回收或Tomcat的session超时配置)可能过早删除session。 - **浏览器Cookie问题**:浏览器Cookie被禁用或清除(如隐私模式),导致session ID无法传递给服务器[^3][^4]。 - **跨域问题**:在分布式系统中,不同域名间的session共享失败,导致session被意外清除[^1][^4]。 - **其他因素**:服务器重启、内存不足或负载均衡时session数据丢失。 #### 步骤2: 常见解决方法 针对上述原因,以下是实用的解决方法。您可以根据实际环境(如PHP、Java或Node.js)选择实施。 1. **调整session超时时间** 延长session的有效期,使其更符合用户操作习惯。 - **PHP示例**:在PHP配置文件中设置`session.gc_maxlifetime`或直接在代码中修改。 ```php <?php // 设置session有效期(单位:秒),例如1小时 ini_set('session.gc_maxlifetime', 3600); session_start(); ?> ``` - **Java示例(Spring Boot)**:在`application.properties`中配置。 ``` server.servlet.session.timeout=3600s # 设置session超时为1小时 ``` 此方法可防止session过早超时[^2][^3]。 2. **添加session心跳检测机制** 通过定期发送请求保持session活跃,避免因用户不活动而被删除。这可在客户端(如JavaScript)实现。 - **JavaScript示例**:使用AJAX每隔5分钟发送一次空请求。 ```javascript setInterval(function() { fetch('/keep-alive', { method: 'GET' }) // 调用服务器端点保持session .then(response => console.log('Session kept alive')) .catch(error => console.error('Error:', error)); }, 300000); // 每隔5分钟执行一次 ``` 服务器端需添加一个简单路由(如`/keep-alive`)处理该请求。引用[2]提到在session生成页面添加代码解决自动退出问题,类似此法[^2]。 3. **使用session持久化存储** 将会话数据保存到数据库或缓存中(如Redis),而不是服务器内存,防止服务器重启或资源回收导致session丢失。 - **Redis示例(PHP)**:配置session保存到Redis。 ```php <?php ini_set('session.save_handler', 'redis'); ini_set('session.save_path', 'tcp://redis-server:6379'); session_start(); ?> ``` - **Spring Boot示例**:集成Spring Session和Redis。 ```java @Configuration @EnableRedisHttpSession public class SessionConfig { @Bean public LettuceConnectionFactory connectionFactory() { return new LettuceConnectionFactory(); } } ``` 持久化存储提高session可靠性[^3][^4]。 4. **确保Cookie正确设置** 检查浏览器Cookie是否被正确处理,避免session ID丢失。 - 在session_start()后添加代码强制设置Cookie属性(如secure和HttpOnly)。 ```php <?php session_start(); setcookie(session_name(), session_id(), time() + 3600, '/', 'yourdomain.com', true, true); // secure和HttpOnly标志 ?> ``` - 在跨域场景中,配置CORS(跨域资源共享)允许携带Cookie,例如在Spring Security中添加: ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.add
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值