更新
在详细调查和咨询了一些专家后,我突然想到,破坏会话的想法是不正确的。更好的问题是——"如何强制所有用户注销"。
这个问题不应该从会话的角度来解决,会话是一个非常低级的机制,而应该从安全组件的角度来处理。即使您删除了所有会话数据,它也将通过remember me
cookie与下一个用户请求一起重新创建。
我稍后会尝试提出这个问题的有效解决方案
问题
我需要实现所谓的应用程序"锁定"的一个功能,所以我需要一种方法将所有用户从Symfony 2应用程序中注销(关闭所有活动会话)。
实现此功能的最佳方式是什么?
理想情况下,该解决方案应该与所有可能的保存处理程序完全兼容。
看起来SessionHandlerInterface
没有提供这样做的方法。
编程方法应该是使用会话侦听器,并在存在特定事件时使会话无效,例如数据库表中的标志/时间戳或类似事件。
如本文所述
基于会话的年龄使会话无效
use Symfony'Component'HttpKernel'Event'GetResponseEvent;
use Symfony'Component'HttpKernel'HttpKernelInterface;
class SessionListener
{
/**
* @var 'Acme'DemoBundle'Service'SessionInvalidator
*/
protected $sessionInvalidator;
function __construct($sessionInvalidator)
{
$this->sessionInvalidator=$sessionInvalidator;
}
public function onKernelRequest(GetResponseEvent $event)
{
if ($event->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
return;
}
$session = $event->getRequest()->getSession();
$metadataBag = $session->getMetadataBag();
$lastUsed = $metadataBag->getLastUsed();
if ($lastUsed === null) {
// the session was created just now
return;
}
// "last used" is a Unix timestamp
if (! $this->sessionInvalidator->checkTimestampIsValid($lastUsed))
$session->invalidate();
}
}
配置:
<service id="amce_security.verify_session_listener"
class="Acme'DemoBundle'EventListener'SessionListener">
<argument type="service" id="acme.session_invalidator"/>
<tag name="kernel.event_listener"
event="kernel.request"
priority="100"
method="onKernelRequest" />
</service>
希望这能帮助
您可以按照这个Symfony 2文档将会话存储到数据库中。
基本上,您需要在配置中执行以下操作:
framework:
session:
# ...
handler_id: session.handler.pdo
services:
session.handler.pdo:
class: Symfony'Component'HttpFoundation'Session'Storage'Handler'PdoSessionHandler
public: false
arguments:
- "mysql:dbname=mydatabase"
- { db_username: myuser, db_password: mypassword }
然后你可以从数据库中删除所有会话!
理想情况下,该解决方案应该与所有可能的保存处理程序完全兼容。
为了完全独立于会话保存处理程序,我认为最好是您自己在会话的"内部"实现此功能。
当用户登录时,您将当前时间戳存储在他们的会话中(用户特定的登录时间戳)。
当你想应用"锁定"时,你可以将当前时间戳(锁定时间戳)存储在其他地方,这样每个脚本实例都可以访问它。这可能是memcached/shared内存、一个简单的文件(可能使用touch
和filemtime
)或其他什么。
然后,在每个页面请求中,您都会检查存储在用户会话中的用户登录时间戳是否大于您的锁定时间戳。如果没有,则用户在锁定发生之前登录,那么是时候删除他们的会话了
当然,在封锁期间,您会拒绝新登录。
这样,你甚至可以允许用户在锁定结束后继续他们现有的会话(如果你愿意的话)——如果你选择不破坏他们的会话,而是在锁定期间简单地拒绝访问。为此,您可以完全删除锁定时间戳(删除memcached/shmop条目,删除文件),也可以将其设置为一个很久以前的值(例如0)。
你可能想根据用户级别实现一个锁定例外——管理员用户可能仍然可以使用网站(如果只是为了禁用锁定,如果没有其他功能的话——至少为此,他们需要能够登录,而不管锁定如何)。