什麼是SESSION?
按照WIKI的解釋,SESSION是存在於兩個通信設備間的交互信息,在某一時間建立,經過一定的時間後失效。常見的SESSION有:TCP SESSION、WEB SESSION(HTTP SESSION)、LOGIN SESSION等。
根據OSI模型中,會話實現的位置不同,SESSION主要分為幾種,一種是應用層會話,包括WEB SESSION(HTTP SESSION)和telnet遠程登錄session;會話層實現的,包括Session Initiation Protocol(SIP)和Internet Phone Call;在傳輸層實現的有TCP SESSION。
本文主要討論WEB SESSION,其一般有兩種:客戶端SESSION和服務器端SESSION,後一種最常見的屬於Java Beans提供的。
SESSION是做什麼的?
在計算機領域,特別是網絡方面,SESSION使用的特別廣泛,也可以稱為是對話(Dialogue)、會話等,一般是指在兩個通信設備間存儲的狀態,有時也發生在用戶和計算機之間(Login SESSION)。
區別於無狀態的通信,SESSION通常用來存儲通信狀態,因此通信的雙方至少有一方需要存儲SESSION的歷史記錄,從而實現兩者間的通信。
SESSION(WEB SESSION)是怎麼實現的?
浏覽器和服務器之間進行HTTP通信時,通常會包含一個 HTTP Cookie 來標識狀態,通常會有一個唯一的 SESSIONID ,SESSION通常記錄著用戶的一些驗證信息和級別。
在幾中編程語言中最常用的Http Session Token是,JSESSIONID(JSP),PHPSESSID(PHP),ASPSESSIONID(ASP),這個標識通常由哈希函數產生,能夠唯一表示這個用戶的身份,在服務器和客戶端通信時,作為GET或者POST的參數存儲在客戶端。
SESSION的實現方式通常有兩種,服務器端SESSION和客戶端SESSION,兩種方式各有優缺點。
服務器端SESSION實現容易並且效率比較高,但是遇到負載均衡或者高可用性需求的時候,處理起來就比較困難,對於那種內生系統不存在存儲設備的時候,也是不可用的。負載均衡可以通過共享文件系統或者強制客戶只能登錄到一台服務器上來實現,但是這樣會降低效率。對於沒有存儲的設備,也可以通過使用RAM(參考參考資料6)來解決服務器端SESSION的實現,這種方法這對哪些客戶端鏈接有限的系統有效(諸如路由或者接入點設備)。
客戶端SESSION的使用可以解決服務器端SESSION的一些問題,比如避免了負載均衡的算法等,但是同時也會產生一些自身的問題。客戶端SESSION使用Cookie和加密技術來在不同的請求間保存狀態。在每一個動態頁面結束後,會統計當前的SESSION,並把它發回客戶端。每次成功請求後,會把cookie再發送到服務器端,來讓服務器“記起”這個用戶的身份。客戶端SESSION最重要的問題就是安全問題,一旦cookie被劫持或者篡改了,用戶的信息的安全性就喪失了。
PHP中如何設置SESSION?
搭建好PHP的開發環境後,通過phpinfo()可以查看到與SESSION有關的部分包括:
SESSION模塊,在PHP V5.2.9版本中,一共有25個變量。其中,平時設置中常會用到的幾個有:
session.cookie_lifetime 設置存儲SESSIONID的cookie過期時間
session.name SESSION的COOKIE名稱,默認為PHPSESSID
session.save_handler SESSION的存儲方式,默認為FILE
session.save_path Fedora下面默認存儲在/var/lib/php/session
session.gc_probability
session.gc_divisor
session.gc_maxlifetime 這三個選項用來處理GC機制發生的機率
session.cache_limiter (nocache,private,private_no_expire,public)
session.cache_expire 這兩個選項是用來緩存SESSION的頁面
先來考慮第一個問題,SESSION多久會過期,他是如何過期的?如果要在PHP程序中使用SESSION,一定要先引用session_start(),這個函數一執行,就會在SESSION的存儲目錄(如果使用了file handler)生成一個SESSION文件,裡面內容是空的,同時浏覽器會見裡一個name為PHPSESSID的cookie,裡面存儲著一個hash出來的SESSION的名字。
SESSION的過期依賴於一個垃圾回收機制(Garbage Collection),SESSION創建後作為一個文件存放在服務器上,客戶端腳本每訪問一次SESSION中的變量,SESSION文件的訪問時間就會進行更新。每次訪問都是根據客戶端存儲的SESSIONID去請求服務器中存儲的唯一的SESSION,當客戶端的cookie過期後,就無法知道要訪問的是哪一個SESSION,盡管此時服務器上的SESSION文件還沒有被過期收回,這樣就會造成服務器資源的浪費。
但是同時,如果我們希望用戶的session馬上過期的話,我們就可以通過設置cookie的辦法來實現。SESSION的回收是在每次訪問頁面的時候進行的,回收的機率由session.gc_probability,session_gc_divisor指定,默認士1/100。如果設置為1,則每次超過了SESSION的生存周期去訪問的話,SESSION一定會被回收。
兩種需求:1、PHP中保持SESSION不過期或延長SESSION過期時間;2、使SESSION立即過期。
1、PHP中保持SESSION不過期和延長SESSION過期時間非常必要,特別是在內部應用系統中或者有很大的表單的時候。想想你的老板在填寫一個表單,剛好碰上午飯時間,留著這個表單等吃飯回來,填寫完剩余的內容,提交後他看到什麼,一般來說都是一個登錄界面。想要提高用戶體驗,關鍵是要讓老板的表單不出問題,我們就必須延長SESSION的生存周期。
PHP中保持SESSION不過期和延長SESSION過期時間,可以通過設置session.gc_maxlifetime來實現,不過首先需要保證客戶端的cookie不會在gc執行回收之前失效。通過設置一個較長的gc_maxlifetime可以實現延長session的生存周期,可是對於不是所有請求都會保持很久的應用來說,這麼做對於服務器配置顯然不是一個最佳的選擇。
我們知道SESSION的回收機制是根據SESSION文件的最後訪問時間來判斷的,如果超過了maxlifetime,則根據回收機率進行回收。所以我們只需要定期的去訪問一下SESSION就可以了,而這可以通過刷新頁面來實現,根據這個思路,解決的方法就有了。
通過JS定期的去訪問頁面;
利用Iframe定期的刷新頁面;
直接利用程序發送HTTP請求,這樣就可以避免在頁面中嵌入其他的元素;
下面是利用JS發送請求實現的保持SESSION不過期的實現方法,這樣我們就只需要在需要SESSION保持長時間的頁面(比如大表單頁面)。
- <script type="text/javascript">
- function keepMeAlive(imgName){
- myImg = document.getElementById(imgName);
- if(myImg) myImg.src = myImg.src.replace(/?.*$/, '?' + Math.random());
- }
- window.setInterval("keepMeAlive('phpImg');", 4000);
- </script>
- <img id="phpImg" src="http://www.phpplot.com/phpplot/session/sess_refresh.php?" width="1" height="1" />
其中URL後加入一個隨機數是為了避免這個鏈接的請求被浏覽器緩存。
2、使SESSION立即過期的方法就比較多了,我們可以session_destroy(),也可以用上面的思路,請求一個session_destroy的頁面。
SESSION安全嗎?
PHP的手冊中明確寫出:SESSION並不能保證儲存在SESSION中的信息一定只能被他的創建者所看到。
如果想要安全的處理一些遠程的操作,那麼HTTPS是唯一的選擇。最基本的,不要認為一個用戶信息在SESSION中存在就認為這個用戶一定就是他本人,雖然SESSION中的信息會給你他已經經過了用戶名和密碼驗證的假象。所以,如果需要做一些修改密碼或者類似的事情的時候,讓用戶重新輸入密碼是一個比較好的選擇。
早期的Apache版本並沒有采用COOKIE的方式來存儲PHPSESSID,而是采用的URL-rewrite,也就是每個URL後面都會加上PHPSESSID=<sessionid>來表明它屬於那個激活的SESSION,新版的Apache已經將這個屬性設置為默認關閉。
session.use_trans_id = 0;
所以從這個意義上來講,延長SESSION的時間過長或者保持SESSION一直在線對於安全來說始終不是一件好事情。終極的解決辦法就是用戶提交跳轉到登錄窗口,登錄後又能夠回到填寫頁面,並且所有的數據都還在。這個的實現方式現在用Ajax來解決應該沒什麼困難,每隔一定時間就把當前的用戶數據POST到一個存儲位置,不管是XML或者JSON。
PHP中保持SESSION拾遺:
對於客戶端不支持JavaScript的情況可以采用的方法:
1、寫一個浮層,顯示在最頂層,如果用戶未禁用JS,則讓浮層消失;
2、將所有的INPUT都設置為disable,然後再用JS設置為enabled;
以上這兩種方式都是在JS被禁用的時候,所有功能都不能用,如何在JS被禁用的情況下使我們的應用仍然正常工作,這個貌似就比較困難。實現這個的所花的時間和所收到的效果大家要權衡一下。
