Sla*_* II 3 php session logout symfony
在对一些专家进行详细调查和咨询后,我发现破坏会话的想法是不正确的.更好的问题是 - «如何强制所有用户注销».
这个问题不应该从会话角度解决,这是一个非常低级别的机制,而是来自安全组件.即使您删除了所有会话数据,也会通过remember me带有下一个用户请求的cookie 重新创建.
我将在稍后尝试提出有效的解决方案.
我需要实现所谓的应用程序«lockdown»的功能,所以我需要一种方法来记录Symfony 2应用程序中的所有用户(关闭所有活动会话).
实现此功能的最佳方法是什么?
理想情况下,解决方案应与所有可能的存储处理程序完全兼容.
看起来SessionHandlerInterface似乎没有提供这样做的方法.
编程方法应该是使用会话侦听器,并在特定事件存在时使会话无效,例如数据库表中存在标志/时间戳或某些类似事件.
如本文所述
use Symfony\Component\HttpKernel\Event\GetResponseEvent;
use Symfony\Component\HttpKernel\HttpKernelInterface;
class SessionListener
{
/**
* @var \Acme\DemoBundle\Service\SessionInvalidator
*/
protected $sessionInvalidator;
function __construct($sessionInvalidator)
{
$this->sessionInvalidator=$sessionInvalidator;
}
public function onKernelRequest(GetResponseEvent $event)
{
if ($event->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
return;
}
$session = $event->getRequest()->getSession();
$metadataBag = $session->getMetadataBag();
$lastUsed = $metadataBag->getLastUsed();
if ($lastUsed === null) {
// the session was created just now
return;
}
// "last used" is a Unix timestamp
if (! $this->sessionInvalidator->checkTimestampIsValid($lastUsed))
$session->invalidate();
}
}
和配置:
<service id="amce_security.verify_session_listener"
class="Acme\DemoBundle\EventListener\SessionListener">
<argument type="service" id="acme.session_invalidator"/>
<tag name="kernel.event_listener"
event="kernel.request"
priority="100"
method="onKernelRequest" />
</service>
希望这有帮助
| 归档时间: |
|
| 查看次数: |
4564 次 |
| 最近记录: |