如何销毁 Symfony 2 中的所有会话
How to destroy all sessions in Symfony 2
更新
经过详细调查和咨询一些专家后,我发现销毁会话的想法是不正确的。更好的问题是 — «如何强制所有用户注销»。
而且这个问题不应该从会话的角度来解决,这是一种相当低级的机制,而应该从安全组件的角度来解决。即使您删除所有会话数据,它也会通过 remember me
cookies 与下一个用户请求重新创建。
稍后我会尝试给出这个问题的有效解决方案。
问题
我需要实现所谓的应用程序 «lockdown» 的功能,因此我需要一种方法将所有用户从 Symfony 2 应用程序注销(关闭所有活动会话)。
实现此功能的最佳方法是什么?
理想情况下,解决方案应与所有可能的 save-handlers.
完全兼容
看起来 SessionHandlerInterface
没有提供这样做的方法。
您可以按照此 Symfony 2 Doc.
将会话存储到数据库中
基本上您需要在配置中执行以下操作:
framework:
session:
# ...
handler_id: session.handler.pdo
services:
session.handler.pdo:
class: Symfony\Component\HttpFoundation\Session\Storage\Handler\PdoSessionHandler
public: false
arguments:
- "mysql:dbname=mydatabase"
- { db_username: myuser, db_password: mypassword }
然后你可以从数据库中删除所有会话!
Ideally, the solution should be fully compatible with all possible save-handlers.
要完全独立于会话保存处理程序,我认为最好是您自己在会话的“内部”实现。
当用户登录时,您将当前时间戳存储在他们的会话中(用户特定的登录时间戳)。
当你想应用你的“锁定”时,你将当前时间戳(锁定时间戳)存储在其他地方,以便每个脚本实例都可以访问它。这可能是 memcached/shared 内存、一个简单的文件(可能使用 touch
和 filemtime
)或其他东西。
然后在每次页面请求时,您检查存储在用户会话中的用户登录时间戳是否大于您的锁定时间戳。如果没有,则用户在锁定发生之前登录 - 那么是时候删除他们的会话了。
当然,在锁定期间您会拒绝新登录。
这样,您甚至可以允许用户在锁定结束后继续他们现有的会话(如果您愿意的话)——如果您选择不破坏他们的会话,而是简单地拒绝在锁定状态下访问。为此,您要么完全删除锁定时间戳(删除 memcached/shmop 条目,删除文件),要么将其设置为过去很久的值 (f.e.0).
您可能希望根据用户级别实施锁定例外 - 管理员用户可能仍然可以使用该网站(如果只是为了禁用锁定,如果没有别的 - 至少为此他们无论锁定如何,都需要能够登录)。
程序化方法应该是使用会话侦听器并在特定事件存在时使会话无效,例如 flag/timestamp 存在于数据库 table 或类似的事件中。
如本文所述
Invalidate the Session Based on its Age
use Symfony\Component\HttpKernel\Event\GetResponseEvent;
use Symfony\Component\HttpKernel\HttpKernelInterface;
class SessionListener
{
/**
* @var \Acme\DemoBundle\Service\SessionInvalidator
*/
protected $sessionInvalidator;
function __construct($sessionInvalidator)
{
$this->sessionInvalidator=$sessionInvalidator;
}
public function onKernelRequest(GetResponseEvent $event)
{
if ($event->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
return;
}
$session = $event->getRequest()->getSession();
$metadataBag = $session->getMetadataBag();
$lastUsed = $metadataBag->getLastUsed();
if ($lastUsed === null) {
// the session was created just now
return;
}
// "last used" is a Unix timestamp
if (! $this->sessionInvalidator->checkTimestampIsValid($lastUsed))
$session->invalidate();
}
}
以及配置:
<service id="amce_security.verify_session_listener"
class="Acme\DemoBundle\EventListener\SessionListener">
<argument type="service" id="acme.session_invalidator"/>
<tag name="kernel.event_listener"
event="kernel.request"
priority="100"
method="onKernelRequest" />
</service>
希望对您有所帮助
更新
经过详细调查和咨询一些专家后,我发现销毁会话的想法是不正确的。更好的问题是 — «如何强制所有用户注销»。
而且这个问题不应该从会话的角度来解决,这是一种相当低级的机制,而应该从安全组件的角度来解决。即使您删除所有会话数据,它也会通过 remember me
cookies 与下一个用户请求重新创建。
稍后我会尝试给出这个问题的有效解决方案。
问题
我需要实现所谓的应用程序 «lockdown» 的功能,因此我需要一种方法将所有用户从 Symfony 2 应用程序注销(关闭所有活动会话)。
实现此功能的最佳方法是什么?
理想情况下,解决方案应与所有可能的 save-handlers.
完全兼容看起来 SessionHandlerInterface
没有提供这样做的方法。
您可以按照此 Symfony 2 Doc.
将会话存储到数据库中基本上您需要在配置中执行以下操作:
framework:
session:
# ...
handler_id: session.handler.pdo
services:
session.handler.pdo:
class: Symfony\Component\HttpFoundation\Session\Storage\Handler\PdoSessionHandler
public: false
arguments:
- "mysql:dbname=mydatabase"
- { db_username: myuser, db_password: mypassword }
然后你可以从数据库中删除所有会话!
Ideally, the solution should be fully compatible with all possible save-handlers.
要完全独立于会话保存处理程序,我认为最好是您自己在会话的“内部”实现。
当用户登录时,您将当前时间戳存储在他们的会话中(用户特定的登录时间戳)。
当你想应用你的“锁定”时,你将当前时间戳(锁定时间戳)存储在其他地方,以便每个脚本实例都可以访问它。这可能是 memcached/shared 内存、一个简单的文件(可能使用 touch
和 filemtime
)或其他东西。
然后在每次页面请求时,您检查存储在用户会话中的用户登录时间戳是否大于您的锁定时间戳。如果没有,则用户在锁定发生之前登录 - 那么是时候删除他们的会话了。
当然,在锁定期间您会拒绝新登录。
这样,您甚至可以允许用户在锁定结束后继续他们现有的会话(如果您愿意的话)——如果您选择不破坏他们的会话,而是简单地拒绝在锁定状态下访问。为此,您要么完全删除锁定时间戳(删除 memcached/shmop 条目,删除文件),要么将其设置为过去很久的值 (f.e.0).
您可能希望根据用户级别实施锁定例外 - 管理员用户可能仍然可以使用该网站(如果只是为了禁用锁定,如果没有别的 - 至少为此他们无论锁定如何,都需要能够登录)。
程序化方法应该是使用会话侦听器并在特定事件存在时使会话无效,例如 flag/timestamp 存在于数据库 table 或类似的事件中。
如本文所述
Invalidate the Session Based on its Age
use Symfony\Component\HttpKernel\Event\GetResponseEvent;
use Symfony\Component\HttpKernel\HttpKernelInterface;
class SessionListener
{
/**
* @var \Acme\DemoBundle\Service\SessionInvalidator
*/
protected $sessionInvalidator;
function __construct($sessionInvalidator)
{
$this->sessionInvalidator=$sessionInvalidator;
}
public function onKernelRequest(GetResponseEvent $event)
{
if ($event->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
return;
}
$session = $event->getRequest()->getSession();
$metadataBag = $session->getMetadataBag();
$lastUsed = $metadataBag->getLastUsed();
if ($lastUsed === null) {
// the session was created just now
return;
}
// "last used" is a Unix timestamp
if (! $this->sessionInvalidator->checkTimestampIsValid($lastUsed))
$session->invalidate();
}
}
以及配置:
<service id="amce_security.verify_session_listener"
class="Acme\DemoBundle\EventListener\SessionListener">
<argument type="service" id="acme.session_invalidator"/>
<tag name="kernel.event_listener"
event="kernel.request"
priority="100"
method="onKernelRequest" />
</service>
希望对您有所帮助