CodeIgniter 3之Session类库(3)(转)

时间:2021-03-04 16:34:22

本文主要讲CI2和CI3关于Session类库的区别。我们知道CI2的Session类使用了cookie来传递session数据。使用 cookie保存会话的好处在于可以节省服务器资源,但坏处也是显而易见的:不能存储太多数据,同时由于暴露了一些重要元数据(ip地址、user agent、session id、user data、上次活动时间),也不够安全(虽然可以加密和自动更新)。当然它也可以使用数据库来保存session数据,但配置有一定的复杂度。

CI3的Session的类库则完全重新,也不再把元数据信息以cookie的方式发送到客户端,它采用了原生的Session来保存会话数据。同时也不 再是简单地通过配置使用数据库来存储Session数据,而是通过drivers驱动的模式*切换到不同的Session Driver。CI默认使用的driver为files,所以使用$this->load->library('session')加载 Session类时,自动使用files的驱动。


CI2和CI3的Session配置区别

在CI2中的application/config/config.php中的session配置如下:

01 //即使$config['sess_encrypt_cookie']设为 FALSE,也需设置密钥。这是个小bug
02 $config['encryption_key'] = '_mahua_';
03  
04 $config['sess_cookie_name']  = 'ci_ssession';
05 $config['sess_expiration']  =  7200;
06 $config['sess_expire_on_close'] = TRUE;
07 $config['sess_encrypt_cookie'] = FALSE;
08 $config['sess_use_database'] = TRUE;
09 $config['sess_table_name']  = 'ci_sessions';
10 $config['sess_match_ip']  = FALSE;
11 $config['sess_match_useragent'] = FALSE;
12 $config['sess_time_to_update'] = 300;
13  
14 //同时会用到cookie的一些设置,因为它用cookie保存着session数据
15 $config['cookie_prefix'] = "";
16 $config['cookie_domain'] = "";
17 $config['cookie_path']  = "/";
18 $config['cookie_secure'] = FALSE;

而在CI3中,配置就简单了很多:

1 $config['sess_driver'] = 'files';
2 $config['sess_cookie_name'] = 'ci_session';
3 $config['sess_expiration'] = 7200;
4 $config['sess_save_path'] = NULL;
5 $config['sess_match_ip'] = FALSE;
6 $config['sess_time_to_update'] = 300;
7 $config['sess_regenerate_destroy'] = FALSE;

CI3中不再有$config['sess_match_useragent']配置,因为不再做此匹配。而配置$config['sess_expire_on_close'] 和$config['sess_encrypt_cookie'] 也不再存在:

01 //为保持兼容性和健壮性,sess_expire_on_close的配置依然有效,
02 //不过优先级非常低,等同于CI3的$config['sess_expiration'] = 0;
03 //CI3的seesion过期时间设置有三个层次,
04 //优先级最高:$this->load->library('session', array('driver'=>'files','cookie_lifetime'=>300));
05 //次优先级:配置文件中的配置节:$config['sess_expiration'] = 300;
06 //最低优先级:配置文件中的配置节:$config['sess_expire_on_close'] = TRUE;
07 $config['sess_expire_on_close'] = TRUE;
08  
09 //该配置不再有效,CI3的设置cookie时强制使用httponly,为了安全。
10 $config['sess_encrypt_cookie'] = FALSE;
11  
12 //该配置节依然有效,当session_driver配置节为空而该配置节为ture时,会使用database驱动器
13 $config['sess_use_database'] = TRUE;
14 //依然有效,等同于databse驱动器时的sess_save_path配置节
15 $config['sess_table_name']  = 'ci_sessions';
16  
17 //依然有效
18 $config['sess_match_ip']  = FALSE;
19 //无效
20 $config['sess_match_useragent'] = FALSE;
21 //依然有效。
22 $config['sess_time_to_update'] = 300;
23  
24 //新增配置节,会话重新生成时是否将以前的session文件内容删除掉。
25 //如果设为false并且驱动器设为files时,不断刷新含有session的页面,
26 //你会发现服务器上保存sessions的文件不断增多,不过不用担心,php的GC机制会帮你回收这些资源
27 $config['sess_regenerate_destroy'] = FALSE;

配置驱动器

首先的改动CI3.0支持更多的方式去存储session,包括files, database, redis, memcached以及自定义,$config['sess_driver'] 来配置驱动器,默认的驱动器是files。

1 //在配置文件中配置驱动器
2 $config['sess_driver'] = ‘files’;
3  
4 //或者使用加载器配置
5 $this->load->library('session', array('driver'=>'files', 'cookie_lifetime'=>300));

配置session save path

配置节sess_save_path会根据不同的驱动器,定义不同。

1.在files驱动器下,sess_save_path指的是session文件保存的路径。sess_save_path指定的文件夹目录需要是绝对路径,而且是可写的

1 //官方建议使用绝对路径,但经测试相对路径也是可行的。
2 //保持文件夹是可写的,保证拥有运行脚本的权限
3 //设为默认的NULL也是可行的,会使用php.ini里的配置,如:session.save_path = "c:/wamp/tmp"
4 $config['sess_save_path'] =  FCPATH.  'your/sess_save_path';

2. 在database情形下,sess_save_path指代的是保存session的数据表名,如:

1 $config['sess_driver'] = 'database';
2 $config['sess_save_path'] = 'ci_sessions';

3.在redis情形下,需要安装phpredis 的php扩展。sess_save_path指代的是主机和端口地址,如:

1 $config['sess_driver'] = 'redis';
2 $config['sess_save_path'] = 'tcp://localhost:6379';

4.在memcached情形下,也需要安装Memcached的php扩展,sess_save_path指代的也是主机和端口地址,如:

1 $config['sess_driver'] = 'memcached';
2 $config['sess_save_path'] = 'localhost:11211';

一个并发问题

随着web应用的发展,RIA越来越多,ajax请求会在客户端变得频繁。ajax请求是非阻塞的,这就意味着在同一时间会有两个持有相同Session
Id的请求达到服务器,并更改服务器上的Session 数据甚至重新产生新的session
id,这就会产生一个并发冲突。于是各种php的session
hanlder加入了锁机制,防止这种并发冲突。f当时用files驱动器时,锁机制是有效的,使用databse驱动器时,官方支持MySQL和
PostgreSQL数据库,因为它们有锁机制,其他数据库CI并不会支持。使用redis和Memcache
驱动器时,不具备锁机制,由CI模拟一种替代的锁。

在CI3以前的版本中,它的自动更新机制中,无论什么请求包括ajax,只要到达服务器就会更新session
id。到CI3时,已经加入了ajax请求的限制,如果是ajax请求,即使更新时间窗口到达,也不会更新session
id。这减少了并发冲突的可能性。但是锁机制的存在也会带来一些问题:

1 session_start();
2 $_SESSION["count"]=1;
3 //加入这句与不加这句的区别
4 session_write_close();
5 sleep(10);

不加session_write_close(),同时运行三个进程,执行时间分别是10秒,20秒和30秒。而加入
session_write_close()后,则三个进程同时进行,只需要10秒。原因在于执行session_start()后
对应的session文件是被锁定的,直到当前脚本结束才会解锁。在锁定期间,另一个进程访问相同session id
要等文件解锁后session_start()才会开始。 在 session 设置好数据后调用 session_write_close()
将数据写入文件并且结束session可释放session文件资源供其他进程使用。CI官方手册提示到:在 session 设置好数据后调用 session_write_close()是个非常良好的习惯。

文件驱动器还是数据库驱动器?

相信有很多人在纠结使用文件驱动器,还是数据库驱动器。如果你认为使用database驱动器的效率要大于files驱动器的话,你只对了一半。官方的建
议是:如果网站的session不多,使用database驱动器效率要高,但是随着用户量的上升,files驱动器反而优势明显,超过
database。当然如果真要追求效率,官方则推荐使用tmpfs,如果你愿意的话,radis和memcache也是不错的选择。在某种情形下,自己擅长的技术就是最好的技术。

关于CI3 Session类库的文章到此结束了,如果有什么不懂的地方,可以提出来大家一起研究讨论。为此我单独开了一个文章,好积累一些在CI中文论坛中常常问到的问题,仅作参考。

http://www.ifixedbug.com/posts/how-to-use-codeigniter3-session-3