如何设置一个严格30分钟过时的Session

第一种回答

那么, 最多见的一种回答是: 设置Session的过时时间, 也就是session.gc_maxlifetime, 这种回答是不正确的, 缘由以下:

1. 首先, 这个PHP是用必定的几率来运行session的gc的, 也就是session.gc_probability和session.gc_divisor(介绍参看 深刻理解PHP原理之Session Gc的一个小几率Notice), 这个默认的值分别是1和100, 也就是有1%的机会, PHP会在一个Session启动时, 运行Session gc. 不能保证到30分钟的时候必定会过时.

2. 那设置一个大几率的清理机会呢? 仍是不妥, 为何? 由于PHP使用stat Session文件的修改时间来判断是否过时, 若是增大这个几率一来会下降性能, 二来, PHP使用”一个”文件来保存和一个会话相关的Session变量, 假设我5分钟前设置了一个a=1的Session变量, 5分钟后又设置了一个b=2的Seesion变量, 那么这个Session文件的修改时间为添加b时刻的时间, 那么a就不能在30分钟的时候, 被清理了. 另外还有下面第三个缘由.

3. PHP默认的(Linux为例), 是使用/tmp 做为Session的默认存储目录, 而且手册中也有以下的描述:

   Note: 若是不一样的脚本具备不一样的 session.gc_maxlifetime 数值可是共享了同一个地方存储会话数据，则具备最小数值的脚本会清理数据。此状况下，与 session.save_path 一块儿使用本指令。

也就是说, 若是有俩个应用都没有指定本身独立的save_path, 一个设置了过时时间为2分钟(假设为A), 一个设置为30分钟(假设为B), 那么每次当A的Session gc运行的时候, 就会同时删除属于应用B的Session files.

因此, 第一种答案是不”彻底严格”正确的.
第二种答案

还有一种常见的答案是: 设置Session ID的载体, Cookie的过时时间, 也就是session.cookie_lifetime. 这种回答也是不正确的, 缘由以下:

这个过时只是Cookie过时, 换个说法这点就考察Cookie和Session的区别, Session过时是服务器过时, 而Cookie过时是客户端(浏览器)来保证的, 即便你设置了Cookie过时, 这个只能保证标准浏览器到期的时候, 不会发送这个Cookie(包含着Session ID), 而若是经过构造请求, 仍是可使用这个Session ID的值.
第三种答案

使用memcache, redis等, okey, 这种答案是一种正确答案. 不过, 很显然出题者确定还会接着问你, 若是只是使用PHP呢?
第四种答案

固然, 面试不是为了难道你, 而是为了考察思考的周密性. 在这个过程当中我会提示出这些陷阱, 因此通常来讲, 符合题意的作法是:

1. 设置Cookie过时时间30分钟, 并设置Session的lifetime也为30分钟.

2. 本身为每个Session值增长Time stamp.

3. 每次访问以前, 判断时间戳.