PHP中session與cookie的使用以及區別

說到會話控制，大部人會想，那還不簡單嗎？不就是COOKIE和SESSION嗎？

的確就是cookie和session，但是你真的會用嗎？

幾年前面試的時候我碰到了一個這樣的問題：

如何保證session在1小時后失效？

當時我想這個還不簡單，將gc_maxlifetime設置為3600不就行了。當時面試的人說，回答的不對，這樣不能保證1小時后肯定失效。當然他也沒和我說原因。后來我回去后，仔細查找了一番，才搞清楚。

回答這個問題前，先普及下cookie和session的知識。

COOKIE與SESSION的區別與聯系

存儲位置的不同：

• cookie存儲在客戶端

• session存放在服務端

他們之間的聯系：

當服務端開啟session后，即

session_start();

后，會生成一個唯一ID（session_id)，并通過響應頭告訴客戶端。客戶端拿到后，會將它保存在cookie中。當客戶端再次發起請求時，會帶上這個信息。服務端收到這個信息后，就會去存放session文件的目錄去查找對應文件，找到后會去提取session信息。就是通過這樣的機制，服務端識別了客戶端的身份。

所以說，如果沒有cookie，session就沒有任何意義。

介紹完cookie與session的關系后，我們再來說說session的有效期。

SESSION的垃圾回收

一般php默認的session有效期為24分鐘。客戶端在超過這個時間后一直沒有發出請求，就會有可能觸發垃圾回收機制，刪除過期的session文件。為什么說有可能？這就要說說垃圾機制的原理了。

php的session垃圾回收是有概率的，是由session.gc_probability和session.gc_diviso確定概率的。概率為

session.gc_probability/session.gc_diviso

php默認gc_probability是1，而gc_diviso默認為100，也就是說每次請求觸發垃圾回收的概率為1/100。一般的，當我們網站訪問量大的時候，可以將這個概率提高，比如1/1000，以減少io操作。

另外還有一點要說明：比如客戶端A，此時新建了一個session（session的有效期為10分鐘），過了8分鐘后，A又發送了請求。這個時候他的session是2分鐘后到期，還是10分鐘后到期？

答案是10分鐘后。因為第二次請求后，服務端的session文件的修改時間也改變了。垃圾回收是看session文件最后的修改時間。但是大家再想想，對應的cookie有效期是不是也會更新？很可惜，cookie有效期不會更新。

如何保證1小時一定過期

現在，我們來看最初的問題，如何保證session文件一個小時后一定過期。session的垃圾回收是概率事件，所有不能指望他了。

那通過設置cookie的有效期了，通過設置cookie_lifetime可以做到么？

答案還是不行。cookie是在客戶端的，他沒有了，只是在下次請求的時候不能帶上這個cookie了，但對應的session文件還是存在的。

其實這個問題最簡單的做法，是將session保存在redis中，通過redis的鍵的過期時間來保證1個小時候，一定過期。該方法也是推薦的方法

但只能用php的話，要怎樣來完成呢？

可以為每一個session都設置一個時間戳，每次訪問前都判斷時間戳。貼上代碼：

<?php
session_start([
    'cookie_lifetime' => 3600,
    'gc_maxlifetime' => 3600
]);

if (isset($_SESSION['lifetime']) && $_SESSION['lifetime'] > time()) {
    // 未過期，更新session的lifetime及cookie的有效期
    $_SESSION['lifetime'] += 3600;
    $tmpVal = $_COOKIE[session_name()];
    setcookie(session_name(), $tmpVal, time() + 3600, '/');
} else {
    // 過期刪除
    $_SESSION = [];
    if (isset($_COOKIE[session_name()])) {
        setcookie(session_name(), '', time() - 100, '/');
    }
    session_destroy();
}

以上就是PHP中session與cookie的使用以及區別的詳細內容，更多請關注億速云其它相關文章！