Sessioni

Quando si utilizzano le sessioni, ogni utente riceve un identificatore unico, chiamato ID di sessione, che viene passato in un cookie. Questo serve come chiave per i dati di sessione. A differenza dei cookie, che sono memorizzati sul lato browser, i dati di sessione sono memorizzati sul lato server.

La sessione viene configurata nella configurazione; la scelta del tempo di scadenza è importante.

La sessione è gestita dall'oggetto Nette\Http\Session, che si ottiene passandoglielo tramite dependency injection. Nei presentatori è sufficiente chiamare $session = $this->getSession().

→ Installazione e requisiti

Avvio della sessione

Per impostazione predefinita, Nette avvia automaticamente una sessione nel momento in cui si inizia a leggere da essa o a scrivere dati su di essa. Per avviare manualmente una sessione, utilizzare $session->start().

All'avvio della sessione, PHP invia le intestazioni HTTP che influiscono sulla cache, vedere session_cache_limiter, ed eventualmente un cookie con l'ID della sessione. Pertanto, è sempre necessario avviare la sessione prima di inviare qualsiasi output al browser, altrimenti verrà lanciata un'eccezione. Pertanto, se si sa che una sessione verrà utilizzata durante il rendering della pagina, è bene avviarla manualmente prima, ad esempio nel presentatore.

In modalità sviluppatore, Tracy avvia la sessione perché la utilizza per visualizzare le barre di reindirizzamento e di richiesta AJAX nella barra Tracy.

Sezione

In PHP puro, l'archivio dei dati di sessione è implementato come un array accessibile tramite una variabile globale $_SESSION. Il problema è che le applicazioni sono normalmente costituite da un certo numero di parti indipendenti e se tutte hanno a disposizione solo uno stesso array, prima o poi si verificherà una collisione di nomi.

Nette Framework risolve il problema dividendo l'intero spazio in sezioni (oggetti Nette\Http\SessionSection). Ogni unità utilizza quindi la propria sezione con un nome unico e non si verificano collisioni.

La sezione viene ottenuta dal gestore di sessione:

$section = $session->getSection('unique name');

Nel presentatore è sufficiente chiamare getSession() con il parametro:

// $this è il presentatore
$section = $this->getSession('unique name');

L'esistenza della sezione può essere verificata con il metodo $session->hasSection('unique name').

È molto facile lavorare con la sezione stessa usando i metodi set(), get() e remove():

// scrittura di una variabile
$section->set('userName', 'franta');

// lettura di una variabile, restituisce null se non esiste
echo $section->get('userName');

// rimozione di una variabile
$section->remove('userName');

È possibile utilizzare il ciclo foreach per ottenere tutte le variabili della sezione:

foreach ($section as $key => $val) {
	echo "$key = $val";
}

Come impostare la scadenza

La scadenza può essere impostata per singole sezioni o anche per singole variabili. Possiamo lasciare che il login dell'utente scada tra 20 minuti, ma ricordare il contenuto di un carrello.

// la sezione scadrà dopo 20 minuti
$section->setExpiration('20 minutes');

Il terzo parametro del metodo set() è usato per impostare la scadenza delle singole variabili:

// La variabile 'flash' scade dopo 30 secondi
$section->set('flash', $message, '30 seconds');

Ricordare che il tempo di scadenza dell'intera sessione (vedere la configurazione della sessione) deve essere uguale o superiore al tempo impostato per le singole sezioni o variabili.

La cancellazione della scadenza precedentemente impostata può essere ottenuta con il metodo removeExpiration(). La cancellazione immediata dell'intera sezione sarà assicurata dal metodo remove().

Eventi $onStart, $onBeforeWrite

L'oggetto Nette\Http\Session ha gli eventi $onStart e $onBeforeWrite, quindi si possono aggiungere callback che vengono richiamati dopo l'avvio della sessione o prima che questa venga scritta su disco e poi terminata.

$session->onBeforeWrite[] = function () {
	// scrivere i dati nella sessione
	$this->section->set('basket', $this->basket);
};

Gestione della sessione

Panoramica dei metodi della classe Nette\Http\Session per la gestione delle sessioni:

Configurazione

Configuriamo la sessione nella configurazione. Se si sta scrivendo un'applicazione che non usa un contenitore DI, usare questi metodi per configurarla. Devono essere chiamati prima di avviare la sessione.

Sicurezza prima di tutto

Il server presume di comunicare con lo stesso utente finché le richieste contengono lo stesso ID di sessione. Il compito dei meccanismi di sicurezza è quello di garantire che questo comportamento funzioni davvero e che non ci sia la possibilità di sostituire o rubare un identificatore.

Ecco perché Nette Framework configura correttamente le direttive PHP per trasferire l'ID di sessione solo nei cookie, per evitare l'accesso da JavaScript e per ignorare gli identificatori nell'URL. Inoltre, nei momenti critici, come il login dell'utente, genera un nuovo ID di sessione.

La funzione ini_set è utilizzata per la configurazione di PHP, ma sfortunatamente il suo uso è proibito da alcuni servizi di web hosting. Se è il vostro caso, provate a chiedere al vostro fornitore di hosting di autorizzare questa funzione o almeno di configurare correttamente il suo server.