本文主要讲CI2和CI3关于Session类库的区别。我们知道CI2的Session类使用了cookie来传递session数据。使用 cookie保存会话的好处在于可以节省服务器资源,但坏处也是显而易见的:不能存储太多数据,同时由于暴露了一些重要元数据(ip地址、user agent、session id、user data、上次活动时间),也不够安全(虽然可以加密和自动更新)。当然它也可以使用数据库来保存session数据,但配置有一定的复杂度。
CI3的Session的类库则完全重新,也不再把元数据信息以cookie的方式发送到客户端,它采用了原生的Session来保存会话数据。同时也不 再是简单地通过配置使用数据库来存储Session数据,而是通过drivers驱动的模式*切换到不同的Session Driver。CI默认使用的driver为files,所以使用$this->load->library('session')加载 Session类时,自动使用files的驱动。
CI2和CI3的Session配置区别
在CI2中的application/config/config.php中的session配置如下:
01 |
//即使$config['sess_encrypt_cookie']设为 FALSE,也需设置密钥。这是个小bug |
02 |
$config [ 'encryption_key' ] = '_mahua_' ;
|
04 |
$config [ 'sess_cookie_name' ] = 'ci_ssession' ;
|
05 |
$config [ 'sess_expiration' ] = 7200;
|
06 |
$config [ 'sess_expire_on_close' ] = TRUE;
|
07 |
$config [ 'sess_encrypt_cookie' ] = FALSE;
|
08 |
$config [ 'sess_use_database' ] = TRUE;
|
09 |
$config [ 'sess_table_name' ] = 'ci_sessions' ;
|
10 |
$config [ 'sess_match_ip' ] = FALSE;
|
11 |
$config [ 'sess_match_useragent' ] = FALSE;
|
12 |
$config [ 'sess_time_to_update' ] = 300;
|
14 |
//同时会用到cookie的一些设置,因为它用cookie保存着session数据 |
15 |
$config [ 'cookie_prefix' ] = "" ;
|
16 |
$config [ 'cookie_domain' ] = "" ;
|
17 |
$config [ 'cookie_path' ] = "/" ;
|
18 |
$config [ 'cookie_secure' ] = FALSE;
|
而在CI3中,配置就简单了很多:
1 |
$config [ 'sess_driver' ] = 'files' ;
|
2 |
$config [ 'sess_cookie_name' ] = 'ci_session' ;
|
3 |
$config [ 'sess_expiration' ] = 7200;
|
4 |
$config [ 'sess_save_path' ] = NULL;
|
5 |
$config [ 'sess_match_ip' ] = FALSE;
|
6 |
$config [ 'sess_time_to_update' ] = 300;
|
7 |
$config [ 'sess_regenerate_destroy' ] = FALSE;
|
CI3中不再有$config['sess_match_useragent']配置,因为不再做此匹配。而配置$config['sess_expire_on_close'] 和$config['sess_encrypt_cookie'] 也不再存在:
01 |
//为保持兼容性和健壮性,sess_expire_on_close的配置依然有效, |
02 |
//不过优先级非常低,等同于CI3的$config['sess_expiration'] = 0; |
03 |
//CI3的seesion过期时间设置有三个层次, |
04 |
//优先级最高:$this->load->library('session', array('driver'=>'files','cookie_lifetime'=>300)); |
05 |
//次优先级:配置文件中的配置节:$config['sess_expiration'] = 300; |
06 |
//最低优先级:配置文件中的配置节:$config['sess_expire_on_close'] = TRUE; |
07 |
$config [ 'sess_expire_on_close' ] = TRUE;
|
09 |
//该配置不再有效,CI3的设置cookie时强制使用httponly,为了安全。 |
10 |
$config [ 'sess_encrypt_cookie' ] = FALSE;
|
12 |
//该配置节依然有效,当session_driver配置节为空而该配置节为ture时,会使用database驱动器 |
13 |
$config [ 'sess_use_database' ] = TRUE;
|
14 |
//依然有效,等同于databse驱动器时的sess_save_path配置节 |
15 |
$config [ 'sess_table_name' ] = 'ci_sessions' ;
|
18 |
$config [ 'sess_match_ip' ] = FALSE;
|
20 |
$config [ 'sess_match_useragent' ] = FALSE;
|
22 |
$config [ 'sess_time_to_update' ] = 300;
|
24 |
//新增配置节,会话重新生成时是否将以前的session文件内容删除掉。 |
25 |
//如果设为false并且驱动器设为files时,不断刷新含有session的页面, |
26 |
//你会发现服务器上保存sessions的文件不断增多,不过不用担心,php的GC机制会帮你回收这些资源 |
27 |
$config [ 'sess_regenerate_destroy' ] = FALSE;
|
配置驱动器
首先的改动CI3.0支持更多的方式去存储session,包括files, database, redis, memcached以及自定义,$config['sess_driver'] 来配置驱动器,默认的驱动器是files。
2 |
$config [ 'sess_driver' ] = ‘files’;
|
5 |
$this ->load->library( 'session' , array ( 'driver' => 'files' , 'cookie_lifetime' =>300));
|
配置session save path
配置节sess_save_path会根据不同的驱动器,定义不同。
1.在files驱动器下,sess_save_path指的是session文件保存的路径。sess_save_path指定的文件夹目录需要是绝对路径,而且是可写的。
1 |
//官方建议使用绝对路径,但经测试相对路径也是可行的。 |
2 |
//保持文件夹是可写的,保证拥有运行脚本的权限 |
3 |
//设为默认的NULL也是可行的,会使用php.ini里的配置,如:session.save_path = "c:/wamp/tmp" |
4 |
$config [ 'sess_save_path' ] = FCPATH. 'your/sess_save_path' ;
|
2. 在database情形下,sess_save_path指代的是保存session的数据表名,如:
1 |
$config [ 'sess_driver' ] = 'database' ;
|
2 |
$config [ 'sess_save_path' ] = 'ci_sessions' ;
|
3.在redis情形下,需要安装phpredis 的php扩展。sess_save_path指代的是主机和端口地址,如:
1 |
$config [ 'sess_driver' ] = 'redis' ;
|
4.在memcached情形下,也需要安装Memcached的php扩展,sess_save_path指代的也是主机和端口地址,如:
1 |
$config [ 'sess_driver' ] = 'memcached' ;
|
2 |
$config [ 'sess_save_path' ] = 'localhost:11211' ;
|
一个并发问题
随着web应用的发展,RIA越来越多,ajax请求会在客户端变得频繁。ajax请求是非阻塞的,这就意味着在同一时间会有两个持有相同Session
Id的请求达到服务器,并更改服务器上的Session 数据甚至重新产生新的session
id,这就会产生一个并发冲突。于是各种php的session
hanlder加入了锁机制,防止这种并发冲突。f当时用files驱动器时,锁机制是有效的,使用databse驱动器时,官方支持MySQL和
PostgreSQL数据库,因为它们有锁机制,其他数据库CI并不会支持。使用redis和Memcache
驱动器时,不具备锁机制,由CI模拟一种替代的锁。
在CI3以前的版本中,它的自动更新机制中,无论什么请求包括ajax,只要到达服务器就会更新session
id。到CI3时,已经加入了ajax请求的限制,如果是ajax请求,即使更新时间窗口到达,也不会更新session
id。这减少了并发冲突的可能性。但是锁机制的存在也会带来一些问题:
不加session_write_close(),同时运行三个进程,执行时间分别是10秒,20秒和30秒。而加入
session_write_close()后,则三个进程同时进行,只需要10秒。原因在于执行session_start()后
对应的session文件是被锁定的,直到当前脚本结束才会解锁。在锁定期间,另一个进程访问相同session id
要等文件解锁后session_start()才会开始。 在 session 设置好数据后调用 session_write_close()
将数据写入文件并且结束session可释放session文件资源供其他进程使用。CI官方手册提示到:在 session 设置好数据后调用 session_write_close()是个非常良好的习惯。
文件驱动器还是数据库驱动器?
相信有很多人在纠结使用文件驱动器,还是数据库驱动器。如果你认为使用database驱动器的效率要大于files驱动器的话,你只对了一半。官方的建
议是:如果网站的session不多,使用database驱动器效率要高,但是随着用户量的上升,files驱动器反而优势明显,超过
database。当然如果真要追求效率,官方则推荐使用tmpfs,如果你愿意的话,radis和memcache也是不错的选择。在某种情形下,自己擅长的技术就是最好的技术。
关于CI3 Session类库的文章到此结束了,如果有什么不懂的地方,可以提出来大家一起研究讨论。为此我单独开了一个文章,好积累一些在CI中文论坛中常常问到的问题,仅作参考。
http://www.ifixedbug.com/posts/how-to-use-codeigniter3-session-3