如何销毁Symfony 2中的所有会话

时间:2015-03-02 08:59:36

标签: php symfony session logout

更新

在与一些专家进行详细调查和咨询后,我发现,销毁会话的想法是不正确的。更好的问题是 - «如何强制所有用户注销»。

这个问题不应该从会话角度解决,这是一个非常低级别的机制,而是来自安全组件。即使您删除了所有会话数据,也会通过remember me Cookie重新创建会话数据。

我稍后会尝试提供此问题的有效解决方案。

问题

我需要实现所谓的应用程序«lockdown»的功能,所以我需要一种方法来记录Symfony 2应用程序中的所有用户(关闭所有活动会话)。

实现此功能的最佳方法是什么?

理想情况下,解决方案应与所有可能的save-handlers完全兼容。

看起来SessionHandlerInterface没有提供这样做的方法。

3 个答案:

答案 0 :(得分:5)

编程方法应该是使用会话侦听器,并且如果存在特定事件,则会使会话无效,例如数据库表中的标志/时间戳存在或某些类似事件。

如本文所述

Invalidate the Session Based on its Age 

use Symfony\Component\HttpKernel\Event\GetResponseEvent;
use Symfony\Component\HttpKernel\HttpKernelInterface;

class SessionListener
{

    /**
     * @var \Acme\DemoBundle\Service\SessionInvalidator
     */
    protected $sessionInvalidator;

    function __construct($sessionInvalidator)
    {
        $this->sessionInvalidator=$sessionInvalidator;
    }


    public function onKernelRequest(GetResponseEvent $event)
    {
        if ($event->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
            return;
        }

        $session = $event->getRequest()->getSession();
        $metadataBag = $session->getMetadataBag();

        $lastUsed = $metadataBag->getLastUsed();
        if ($lastUsed === null) {
            // the session was created just now
            return;
        }

        // "last used" is a Unix timestamp

        if (! $this->sessionInvalidator->checkTimestampIsValid($lastUsed))
         $session->invalidate();
    }
}

配置:

<service id="amce_security.verify_session_listener"
         class="Acme\DemoBundle\EventListener\SessionListener">
<argument type="service" id="acme.session_invalidator"/>
    <tag name="kernel.event_listener"
         event="kernel.request"
         priority="100"
         method="onKernelRequest" />
</service>

希望这个帮助

答案 1 :(得分:3)

您可以在此Symfony 2 Doc之后将会话存储到数据库中。

基本上,您需要在配置中执行以下操作:

framework:
    session:
        # ...
        handler_id: session.handler.pdo

services:
    session.handler.pdo:
        class:     Symfony\Component\HttpFoundation\Session\Storage\Handler\PdoSessionHandler
        public:    false
        arguments:
            - "mysql:dbname=mydatabase"
            - { db_username: myuser, db_password: mypassword }

然后你可以删除数据库中的所有会话!

答案 2 :(得分:3)

  

理想情况下,解决方案应与所有可能的存储处理程序完全兼容。

要完全独立于会话保存处理程序,我认为如果您自己实现会话的“内部”可能是最好的。

当用户登录时,您将当前时间戳存储在其会话中(用户特定的登录时间戳)。

如果要应用“锁定”,则将当前时间戳(锁定时间戳)存储在其他位置,以便每个脚本实例都可以访问它。这可能类似于memcached / shared memory,一个简单的文件(可能使用touchfilemtime),或其他东西。

然后在每个页面请求中,检查用户会话中存储的用户登录时间戳是否大于锁定时间戳。如果没有,用户在锁定发生之前登录 - 那么是时候删除他们的会话了 当然,在锁定到位时你会拒绝新的登录。

这样,您甚至可以允许用户在锁定结束后(如果您愿意)继续他们现有的会话 - 如果您选择不销毁他们的会话,而是在锁定时简单拒绝访问。为此,您要么完全删除锁定时间戳(删除memcached / shmop条目,删除文件),要么将其设置为过去的值(f.e. 0)。

您可能希望根据用户级别实施锁定例外 - 管理员用户应该仍然可以使用该网站(如果只是为了禁用锁定,如果没有别的话 - 至少为此他们需要无论锁定如何都能登录。

相关问题
最新问题