Session的详解与使用_session的用法

一、前言
        之前的文章已经介绍了Cookie可以让服务端程序跟踪每个客户端的访问，但是每次客户端的访问都必须传回这些Cookie，如果Cookie很多，这无形地增加了客户端与服务端的数据传输量，为了解决这个问题，Session就出现了。

二、概念
Session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。
相比于保存在客户端的Cookie，Session将用户交互信息保存在了服务器端，使得同一个客户端每次和服务端交互时，不需要每次都传回所有的Cookie值，而是只要传回一个ID，这个ID是客户端第一次访问服务器的时候生成的，而且每个客户端是唯一的。这样就实现了一个ID就能在服务器取得所有的用户交互信息。

三、Session的工作流程
1、session的创建：session是在客户端与服务器交互的过程中，由服务器创建的，并且会返回一个session的Id给客户端，一个会话只能有一个session对象；
2、在此后的交互过程中，客户端在请求中带上这个ID；
3、服务器可根据此Session ID获取到对应的保存在服务器内存中的session内容，以便于识别用户并提取用户信息。

注：一般情况下客户端session的ID都是通过Cookie的方式与服务器交互的，对于客户端禁用了Cookie的情况，可以通过在请求的Url中带上这个Session ID达到使用Session的目的。（也有一些在页面表单隐藏字段添加session id的，但是需要请求有提交表单的行为时才可实现session交互）

四、Session的生命周期
Session在以下情况会被删除失效：
1、Session超时：超时指的是连续一定时间服务器没有收到该Session所对应客户端的请求，并且这个时间超过了服务器设置的Session超时的最大时间；
2、程序调用方法主动销毁session；
3、服务器关闭或服务停止。

五、Session的作用范围
一般来说，每次请求不同的域都会新创建一个session：

对于多标签的浏览器来说，在一个浏览器窗口中，多个标签同时访问一个页面，session是一个。

对于多个浏览器窗口之间，同时或者相隔很短时间访问一个页面，session是多个的，和浏览器的进程有关。

对于一个同一个浏览器窗口，直接录入url访问同一应用的不同资源，session是一样的。

比如PHP写的服务端，每次打开同一个域名网站的页面都是一样的session，在多个标签里面也是一样；但在多个窗口就是不一样的(可能有些浏览器不是)，访问不同的域也是不一样的，除非做了Session同步机制。

六、PHP操作Session方法
php的session默认情况下是使用客户端Cookie。当客户端的Cookie被禁用时，会自动通过URL的Query_String传递。 
(必须在php.ini中做以下配置：

session.use_trans_sid=1   //是否开启url传递PHPSESSION ID
session.use_only_cookies=0 //是否只允许使用Cookie 传递PHPSESSION ID
session.use_cookies=1 //是否开启Cookie传递PHPSESSION ID

需要保证服务器有session.save_path路径的必要权限。
)

1、session创建：在PHP中创建Session是用session_start()方法，同Cookie一样，必须将这个函数置于最先，而且在它之前不能有任何输出，否则会报错。同理可以用之前文章介绍过的输出缓冲的方法避免。

2、清空session：session_destroy()方法，此函数没有参数，且返回值均为true。
3、获取Session：PHP中获取session用$_SESSION[$name]变量获取，该变量在接收到请求时会自动获取到请求里面带有的Session id,并以数组的格式提取保存着该ID所带有的在服务器端的session数据(session的数据也是采用Key/Value的格式,value格式可支持多种)；
4、Session值的修改更新：
可直接通过给$_SESSION[$name]变量赋值的格式更新session值，并且可以立即生效。

七、实际应用中session存在的问题与不足
1、为了弥补http协议的无状态的特点，服务端会占用一定的内存和cpu用来存储和处理session计算的开销，在大流量大访问量的网站中，这会导致大量的占用服务器内存和计算速度；
2、有些高访问量的站点，需要部署多个服务器，多台服务器对外提供的服务是等价的，这样可以减少每台服务器的压力，但是同一个用户的多次请求可能会访问到多台服务器，每台服务器的同一个Session ID必须对应同一个Session内容，这就需要Session在多台服务器之间实现同步；
3、每个用户在每台服务器之间的Session ID都应该标识用户自己，所以多个服务器之间的不同session必须是相互独立的；

八、Session同步的方案

1存储在数据库中。

2所有的服务器同步session文件。

3,配置负载均衡机制将固定的用户访问固定的服务器

多台服务器之间必须共享session，所以session同步到各个服务器的方式就是把session保存起来，让各个服务器都可以访问到这个保存的地方；可以保存到文件、数据库、内存等，由于文件和数据库是IO读写，效率比较低，所以目前最好的方案是将Session保存在内存中。
很多大型企业采用的方案是在单独的缓存服务器如memcache或者Redis里面保存Session，同步到各个服务器这种方案。

九、设置固定的过期时间

如何严格限制session在30分钟后过期！

1.设置客户端cookie的lifetime为30分钟；
2.设置session的最大存活周期也为30分钟；
3.为每个session值加入时间戳，然后在程序调用时进行判断；

 

php中的session有效期默认是1440秒（24分钟），也就是说，客户端超过24分钟没有刷新，当前session就会失效。当然如果用户关闭了浏览器，会话也就结束了，Session自然也不存在了！
大家知道，Session储存在服务器端，根据客户端提供的SessionID来得到这个用户的文件，然后读取文件，取得变量的值，SessionID可以使用客户端的Cookie或者Http1.1协议的
Query_String（就是访问的URL的“?”后面的部分）来传送给服务器，然后服务器读取Session的目录……
要控制Session的生命周期，首先我们需要了解一下php.ini关于Session的相关设置（打开php.ini文件，在“[Session]”部分）：
1、session.use_cookies：默认的值是“1”，代表SessionID使用Cookie来传递，反之就是使用Query_String来传递；
2、session.name：这个就是SessionID储存的变量名称，可能是Cookie，也可能是Query_String来传递，默认值是“PHPSESSID”；
3、session.cookie_lifetime：这个代表SessionID在客户端Cookie储存的时间，默认是0，代表浏览器一关闭SessionID就作废……就是因为这个所以Session不能永久使用！
4、session.gc_maxlifetime：这个是Session数据在服务器端储存的时间，如果超过这个时间，那么Session数据就自动删除！
还有很多的设置，不过和本文相关的就是这些了，下面开始讲如何设置Session的存活周期。
前面说过，服务器通过SessionID来读取Session的数据，但是一般浏览器传送的SessionID在浏览器关闭后就没有了，那么我们只需要人为的设置SessionID并且保存下来，不就可以……
如果你拥有服务器的操作权限，那么设置这个非常非常的简单，只是需要进行如下的步骤：
1、把“session.use_cookies”设置为1，使用Cookie来储存SessionID，不过默认就是1，一般不用修改；
2、把“session.cookie_lifetime”改为你需要设置的时间（比如一个小时，就可以设置为3600，以秒为单位）;
3、把“session.gc_maxlifetime”设置为和“session.cookie_lifetime”一样的时间；
在PHP的文档中明确指出，设定session有效期的参数是session.gc_maxlifetime。可以在php.ini文件中，或者通过ini_set()函数来修改这一参数。问题在于，经过多次测试，修改这个
参数基本不起作用，session有效期仍然保持24分钟的默认值。
由于PHP的工作机制，它并没有一个daemon线程，来定时地扫描session信息并判断其是否失效。当一个有效请求发生时，PHP会根据全局变量
session.gc_probability/session.gc_divisor（同样可以通过php.ini或者ini_set()函数来修改）的值，来决定是否启动一个GC（Garbage Collector）。
默认情况下，session.gc_probability ＝ 1，session.gc_divisor ＝100，也就是说有1%的可能性会启动GC。GC的工作，就是扫描所有的session信息，用当前时间减去session的最后修
改时间（modified date），同session.gc_maxlifetime参数进行比较，如果生存时间已经超过gc_maxlifetime，就把该session删除。
到此为止，工作一切正常。那为什么会发生gc_maxlifetime无效的情况呢？
在默认情况下，session信息会以文本文件的形式，被保存在系统的临时文件目录中。在Linux下，这一路径通常为\tmp，在 Windows下通常为C:\Windows\Temp。当服务器上有多个PHP应
用时，它们会把自己的session文件都保存在同一个目录中。同样地，这些PHP应用也会按一定机率启动GC，扫描所有的session文件。

问题在于，GC在工作时，并不会区分不同站点的session。举例言之，站点A的gc_maxlifetime设置为2小时，站点B的 gc_maxlifetime设置为默认的24分钟。当站点B的GC启动时，它会扫
描公用的临时文件目录，把所有超过24分钟的session文件全部删除掉，而不管它们来自于站点A或B。这样，站点A的gc_maxlifetime设置就形同虚设了。
找到问题所在，解决起来就很简单了。修改session.save_path参数，或者使用session_save_path()函数，把保存session的目录指向一个专用的目录，gc_maxlifetime参数工作正常了。

还有一个问题就是，gc_maxlifetime只能保证session生存的最短时间，并不能够保存在超过这一时间之后session信息立即会得到删除。因为GC是按机率启动的，可能在某一个长时间内
都没有被启动，那么大量的session在超过gc_maxlifetime以后仍然会有效。
解决这个问题的一个方法是，把session.gc_probability/session.gc_divisor的机率提高，如果提到100%，就会彻底解决这个问题，但显然会对性能造成严重的影响。另一个方法是自己

只使用php实现，创建一个session类，在session写入时，把过期时间也写入。读取时，根据过期时间判断是否已过期。

 class Session{  
      
        /** 
         * 设置session 
         * @param String $name   session name 
         * @param Mixed  $data   session data 
         * @param Int    $expire 超时时间(秒) 
         */  
        public static function set($name, $data, $expire=600){  
            $session_data = array();  
            $session_data['data'] = $data;  
            $session_data['expire'] = time()+$expire;  
            $_SESSION[$name] = $session_data;  
        }  
      
        /** 
         * 读取session 
         * @param  String $name  session name 
         * @return Mixed 
         */  
        public static function get($name){  
            if(isset($_SESSION[$name])){  
                if($_SESSION[$name]['expire']>time()){  
                    return $_SESSION[$name]['data'];  
                }else{  
                    self::clear($name);  
                }  
            }  
            return false;  
        }  
      
        /** 
         * 清除session 
         * @param  String  $name  session name 
         */  
        private static function clear($name){  
            unset($_SESSION[$name]);  
        }  
      
    }  
    demo.php  
      
    session_start();  
      
    $data = '123456';  
    session::set('test', $data, 10);  
    echo session::get('test'); // 未过期，输出  
    sleep(10);  
    echo session::get('test'); // 已过期  

 

＜?php
    session_start();
    // 保存一天
    $lifeTime = 24 * 3600;
    setcookie(session_name(), session_id(), time() + $lifeTime, "/");
?＞
     其实 Session 还提供了一个函数 session_set_cookie_params(); 来设置 Session 的生存期的，该函数必须在 session_start() 函数调用之前调用：
＜?php
     // 保存一天
    $lifeTime = 24 * 3600;
    session_set_cookie_params($lifeTime);
    session_start();
    $_SESSION["admin"] = true;
?＞