Сесии

Когато се използват сесии, на всеки потребител се дава уникален идентификатор, наречен идентификатор на сесия, който се предава на “бисквитката”. Той служи като ключ към данните за сесията. За разлика от “бисквитките”, които се съхраняват от страна на браузъра, данните за сесията се съхраняват от страна на сървъра.

Настройваме сесията в конфигурацията, като изборът на време на изтичане е важен.

Сесията се управлява от обекта Nette\Http\Session, който получавате, като го предавате чрез инжектиране на зависимости. В презентаторите наричаме $session = $this->getSession().

→ Монтаж и изисквания

Стартираща сесия

По подразбиране Nette автоматично стартира сесия в момента, в който започнем да четем от нея или да записваме данни в нея. За да стартирате сесия ръчно, използвайте $session->start().

PHP изпраща HTTP хедъри, които влияят на кеширането, когато сесията започне, вж. session_cache_limiter и евентуално бисквитка с идентификатор на сесията. Затова винаги трябва да стартирате сесията, преди да изпратите какъвто и да е изход към браузъра, в противен случай ще бъде хвърлено изключение. Затова, ако знаете, че сесията ще се използва по време на визуализирането на страницата, стартирайте я ръчно, например в презентатора.

В режим за разработчици Tracy стартира сесията, тъй като я използва за показване на ленти за пренасочване и AJAX заявки в панела Tracy.

Раздел

В чистия език PHP съхранението на данни за сесията се реализира като масив, достъпен чрез глобалната променлива $_SESSION. Проблемът се състои в това, че приложенията обикновено се състоят от няколко независими части и ако всички разполагат само с един и същ масив, рано или късно ще се стигне до колизии на имена.

Рамката на Nette решава този проблем, като разделя цялото пространство на секции (обекти Nette\Http\SessionSection). В този случай всяка част използва свой собствен раздел с уникално име и не се получават колизии.

Получаваме дяла от мениджъра на сесии:

$section = $session->getSection('unique name');

Всичко, което трябва да направите в презентатора, е да извикате getSession() с параметъра:

// $this - Представящ
$section = $this->getSession('unique name');

Съществуването на дяла може да се провери по метода $session->hasSection('unique name').

Самият дял е много лесен за работа с помощта на методите set(), get() и remove():

// писане на променлива
$section->set('userName', 'franta');

// четене на променливата, връща null, ако не съществува
echo $section->get('userName');

//премахване на променлива
$section->remove('userName');

Можете да използвате цикъла foreach, за да извлечете всички променливи от секцията:

foreach ($section as $key => $val) {
	echo "$key = $val";
}

Как да зададете дата на изтичане

Срокът на валидност може да бъде зададен за отделни раздели или дори за отделни променливи. Можем да позволим на потребителския вход да изтече след 20 минути, но да запазим съдържанието на кошницата.

// срокът на действие на раздела изтича след 20 минути
$section->setExpiration('20 minutes');

Третият параметър на метода set() се използва за задаване на датата на изтичане на срока на валидност на отделните променливи:

// променливата 'flash' изтича след 30 секунди
$section->set('flash', $message, '30 seconds');

Не забравяйте, че времето на изтичане на цялата сесия (вж. Конфигурация на сесията) трябва да е равно или по-голямо от времето, зададено за отделните секции или променливи.

Отмяна на предварително зададено време на изтичане може да се осъществи чрез метода removeExpiration(). Незабавното изтриване на цял раздел се осигурява от метода remove().

Събития $onStart, $onBeforeWrite

Обектът Nette\Http\Session има събития $onStart и $onBeforeWrite, така че можете да добавите обратни извиквания, които ще бъдат извикани след стартирането на сесията или преди тя да бъде записана на диска и след това завършена.

$session->onBeforeWrite[] = function () {
	// запис на данни в сесията
	$this->section->set('basket', $this->basket);
};

Управление на сесиите

Преглед на методите на класа Nette\Http\Session за управление на сесии:

Конфигурация

Конфигурираме сесията в конфигурацията. Ако пишете приложение, което не използва DI-контейнер, използвайте тези методи, за да го конфигурирате. Те трябва да бъдат извикани преди стартирането на сесията.

Сигурността на първо място

Сървърът приема, че комуникира с един и същ потребител, докато заявките съдържат един и същ идентификатор на сесията. Предизвикателството пред механизмите за сигурност е да се гарантира, че това поведение действително работи и че няма начин да се подмени или открадне идентификаторът.

Ето защо Nette Framework правилно конфигурира директивите на PHP да предават идентификаторите на сесията само на бисквитките, да предотвратяват достъпа от JavaScript и да игнорират идентификаторите в URL адресите. Освен това в критични моменти, като например влизане на потребител, той генерира нов идентификатор на сесията.

Функцията ini_set се използва за конфигуриране на PHP, но за съжаление някои уеб хостове не я разрешават. Ако вашият случай е такъв, опитайте се да помолите доставчика си на хостинг да разреши тази функция или поне да конфигурира правилно своя сървър.