王明昌博客Session 配置文件位于 config/session.php
默认file驱动
支持的类型驱动
file– Session 数据存储在storage/framework/sessions目录下;cookie– Session 数据存储在经过加密的安全的 Cookie 中;database– Session 数据存储在数据库中memcached/redis– Session 数据存储在 Memcached/Redis 中;array– Session 数据存储在简单 PHP 数组中,在多个请求之间是非持久化的。
数据库驱动
使用 database 作为 Session 驱动时,需要设置表包含 Session 字段
Schema::create('sessions', function ($table) {
$table->string('id')->unique();
$table->integer('user_id')->nullable();
$table->string('ip_address', 45)->nullable();
$table->text('user_agent')->nullable();
$table->text('payload');
$table->integer('last_activity');
});
使用 Artisan 命令 session:table 来生成迁移:
php artisan session:table php artisan migrate
Redis
在 Laravel 中使用 Redis 作为 Session 驱动前,需要通过 Composer 安装 predis/predis 包。可以在 database 配置文件中配置 Redis 连接,在 Session 配置文件中,connection 选项用于指定 Session 使用哪一个 Redis 连接。
使用session
获取数据可以使用session辅助函数 或request
$value = $request->session()->get('key');
还可以传递默认值作为第二个参数到 get 方法,默认值在指定键在Session 中不存在时返回
$value = $request->session()->get('key', 'default');
$value = $request->session()->get('key', function() {
return 'default';
});
session
// 从session中获取数据...
$value = session('key');
// 指定默认值...
$value = session('key', 'default');
获取所有session值all
$data = $request->session()->all();
判断是否存在has
if ($request->session()->has('users')) {
//
}
if ($request->session()->exists('users')) {
//
}
存储数据 put
//通过put方法
$request->session()->put('key', 'value');
//通过全局辅助函数
session(['key' => 'value']);
推送数据到数组session push
$request->session()->push('user.teams', 'developers');
获取并删除数据 pull
$value = $request->session()->pull('key', 'default');
一次性数据flash
$request->session()->flash('status', 'Task was successful!');
在更多请求中保持该一次性数据,可以使用 reflash 方法
$request->session()->reflash(); $request->session()->keep(['username', 'email']);
删除数据 forget
$request->session()->forget('key');//移除指定数据
$request->session()->flush();//删除所有数据
重新生成sessionid
关于session fixation 攻击可参考这篇文章:http://www.360doc.com/content/11/1028/16/1542811_159889635.shtml
如果你使用内置的 LoginController 的话,Laravel 会在认证期间自动重新生成 session id,如果你需要手动重新生成session ID,可以使用 regenerate 方法:
$request->session()->regenerate();
添加自定义session驱动
实现驱动
自定义 Session 驱动需要实现 SessionHandlerInterface 接口,该接口包含少许我们需要实现的方法,比如一个 MongoDB 的实现如下:
<?php
namespace App\Extensions;
class MongoHandler implements SessionHandlerInterface
{
public function open($savePath, $sessionName) {}
public function close() {}
public function read($sessionId) {}
public function write($sessionId, $data) {}
public function destroy($sessionId) {}
public function gc($lifetime) {}
}
注:Laravel 默认并没有附带一个用于包含扩展的目录,你可以将扩展放置在任何地方,这里我们创建一个
Extensions目录用于存放MongoHandler。
由于这些方法并不是很容易理解,所以我们接下来快速过一遍每一个方法:
open方法用于基于文件的 Session 存储系统,由于 Laravel 已经有了一个fileSession 驱动,所以在该方法中不需要放置任何代码,可以将其置为空方法。close方法和open方法一样,也可以被忽略,对大多数驱动而言都用不到该方法。read方法应该返回与给定$sessionId相匹配的 Session 数据的字符串版本,从驱动中获取或存储 Session 数据不需要做任何序列化或其它编码,因为 Laravel 已经为我们做了序列化。write方法应该将给定$data写到持久化存储系统相应的$sessionId, 例如 MongoDB, Dynamo 等等。再次重申,不要做任何序列化操作,Laravel已经为我们处理好了。destroy方法从持久化存储中移除$sessionId对应的数据。gc方法销毁大于给定$lifetime的所有 Session 数据,对本身拥有过期机制的系统如 Memcached 和 Redis 而言,该方法可以留空。
注册驱动
驱动被实现后,需要准备将其注册到框架,要添加额外驱动到 Laravel Session 后端,可以使用 Session门面上的 extend 方法。我们在服务提供者的 boot 方法中调用该方法:
<?php
namespace App\Providers;
use App\Extensions\MongoSessionStore;
use Illuminate\Support\Facades\Session;
use Illuminate\Support\ServiceProvider;
class SessionServiceProvider extends ServiceProvider
{
/**
* Perform post-registration booting of services.
*
* @return void
*/
public function boot()
{
Session::extend('mongo', function($app) {
// Return implementation of SessionHandlerInterface...
return new MongoSessionStore;
});
}
/**
* Register bindings in the container.
*
* @return void
*/
public function register()
{
//
}
}
Session 驱动被注册之后,就可以在配置文件 config/session.php 中使用 mongo 驱动了。
