PHP中如何保持SESSION以及由此引發的一些思考

最近的一個專案，裡面有一個比較大的表單，使用者完成它需要很多時間，很多使用者花了千辛萬苦完成之後，一提交發現SESSION過期，系統退出了，所以引起了研究如何設定SESSION以及保持SESSION線上的需要，下面是一些心得體會。

什麼是SESSION？

按照WIKI的解釋，SESSION是存在於兩個通訊裝置間的互動資訊，在某一時間建立，經過一定的時間後失效。常見的SESSION有：TCP SESSION、WEB SESSION（HTTP SESSION）、LOGIN SESSION等。
根據OSI模型中，會話實現的位置不同，SESSION主要分為幾種，一種是應用層會話，包括WEB SESSION（HTTP　SESSION）和telnet遠端登入session；會話層實現的，包括Session Initiation Protocol（SIP）和Internet Phone Call；在傳輸層實現的有TCP　SESSION。
本文主要討論WEB SESSION，其一般有兩種：客戶端SESSION和伺服器端SESSION，後一種最常見的屬於Java Beans提供的。

SESSION是做什麼的？

在計算機領域，特別是網路方面，SESSION使用的特別廣泛，也可以稱為是對話（Dialogue）、會話等，一般是指在兩個通訊裝置間儲存的狀態，有時也發生在使用者和計算機之間（Login　SESSION）。
區別於無狀態的通訊，SESSION通常用來儲存通訊狀態，因此通訊的雙方至少有一方需要儲存SESSION的歷史記錄，從而實現兩者間的通訊。

SESSION（WEB　SESSION）是怎麼實現的？

瀏覽器和伺服器之間進行HTTP通訊時，通常會包含一個　HTTP Cookie 來標識狀態，通常會有一個唯一的　SESSIONID　，SESSION通常記錄著使用者的一些驗證資訊和級別。
在幾中程式語言中最常用的Http Session Token是，JSESSIONID（JSP），PHPSESSID（PHP），ASPSESSIONID（ASP），這個標識通常由雜湊函式產生，能夠唯一表示這個使用者的身份，在伺服器和客戶端通訊時，作為GET或者POST的引數儲存在客戶端。
SESSION的實現方式通常有兩種，伺服器端SESSION和客戶端SESSION，兩種方式各有優缺點。

伺服器端SESSION實現容易並且效率比較高，但是遇到負載均衡或者高可用性需求的時候，處理起來就比較困難，對於那種內生系統不存在儲存裝置的時候，也是不可用的。負載均衡可以通過共享檔案系統或者強制客戶只能登入到一臺伺服器上來實現，但是這樣會降低效率。對於沒有儲存的裝置，也可以通過使用RAM（參考參考資料6）來解決伺服器端SESSION的實現，這種方法這對哪些客戶端連結有限的系統有效（諸如路由或者接入點裝置）。
客戶端SESSION的使用可以解決伺服器端SESSION的一些問題，比如避免了負載均衡的演算法等，但是同時也會產生一些自身的問題。客戶端SESSION使用Cookie和加密技術來在不同的請求間儲存狀態。在每一個動態頁面結束後，會統計當前的SESSION，並把它發回客戶端。每次成功請求後，會把cookie再傳送到伺服器端，來讓伺服器“記起”這個使用者的身份。客戶端SESSION最重要的問題就是安全問題，一旦cookie被劫持或者篡改了，使用者的資訊的安全性就喪失了。

PHP中如何設定SESSION？

搭建好PHP的開發環境後，通過phpinfo()可以檢視到與SESSION有關的部分包括：
SESSION模組，在PHP V5.2.9版本中，一共有25個變數。其中，平時設定中常會用到的幾個有：
session.cookie_lifetime        設定儲存SESSIONID的cookie過期時間
session.name                SESSION的COOKIE名稱，預設為PHPSESSID
session.save_handler        SESSION的儲存方式，預設為FILE        
session.save_path            Fedora下面預設儲存在/var/lib/php/session

session.gc_probability
session.gc_divisor
session.gc_maxlifetime        這三個選項用來處理GC機制發生的機率

session.cache_limiter    （nocache,private,private_no_expire,public）
session.cache_expire    這兩個選項是用來快取SESSION的頁面

先來考慮第一個問題，SESSION多久會過期，他是如何過期的？如果要在PHP程式中使用SESSION，一定要先引用session_start()，這個函式一執行，就會在SESSION的儲存目錄（如果使用了file handler)生成一個SESSION檔案，裡面內容是空的，同時瀏覽器會見裡一個name為PHPSESSID的cookie，裡面儲存著一個hash出來的SESSION的名字。
SESSION的過期依賴於一個垃圾回收機制（Garbage Collection），SESSION建立後作為一個檔案存放在伺服器上，客戶端指令碼每訪問一次SESSION中的變數，SESSION檔案的訪問時間就會進行更新。每次訪問都是根據客戶端儲存的SESSIONID去請求伺服器中儲存的唯一的SESSION，當客戶端的cookie過期後，就無法知道要訪問的是哪一個SESSION，儘管此時伺服器上的SESSION檔案還沒有被過期收回，這樣就會造成伺服器資源的浪費。
但是同時，如果我們希望使用者的session馬上過期的話，我們就可以通過設定cookie的辦法來實現。SESSION的回收是在每次訪問頁面的時候進行的，回收的機率由session.gc_probability，session_gc_divisor指定，預設士1/100。如果設定為1，則每次超過了SESSION的生存週期去訪問的話，SESSION一定會被回收。
 
兩種需求：1、保持SESSION不過期或延長SESSION過期時間；2、使SESSION立即過期。
1、保持SESSION不過期和延長SESSION過期時間非常必要，特別是在內部應用系統中或者有很大的表單的時候。想想你的老闆在填寫一個表單，剛好碰上午飯時間，留著這個表單等吃飯回來，填寫完剩餘的內容，提交後他看到什麼，一般來說都是一個登入介面。想要提高使用者體驗，關鍵是要讓老闆的表單不出問題，我們就必須延長SESSION的生存週期。
保持SESSION不過期和延長SESSION過期時間，可以通過設定session.gc_maxlifetime來實現，不過首先需要保證客戶端的cookie不會在gc執行回收之前失效。通過設定一個較長的gc_maxlifetime可以實現延長session的生存週期，可是對於不是所有請求都會保持很久的應用來說，這麼做對於伺服器配置顯然不是一個最佳的選擇。
我們知道SESSION的回收機制是根據SESSION檔案的最後訪問時間來判斷的，如果超過了maxlifetime，則根據回收機率進行回收。所以我們只需要定期的去訪問一下SESSION就可以了，而這可以通過重新整理頁面來實現，根據這個思路，解決的方法就有了。
    通過JS定期的去訪問頁面；
    利用Iframe定期的重新整理頁面；
    直接利用程式傳送HTTP請求，這樣就可以避免在頁面中嵌入其他的元素；

下面是利用JS傳送請求實現的保持SESSION不過期的實現方法，這樣我們就只需要在需要SESSION保持長時間的頁面（比如大表單頁面）。
    <script type=”text/javascript”>
        function keepMeAlive(imgName){
            myImg = document.getElementById(imgName);
            if(myImg) myImg.src = myImg.src.replace(/?.*$/, `?` + Math.random());
        }

        window.setInterval(“keepMeAlive(`phpImg`);”, 4000);
    </script>
    <img id=”phpImg” src=”http://www.phpplot.com/phpplot/session/sess_refresh.php?” width=”1″ height=”1″ />
其中URL後加入一個隨機數是為了避免這個連結的請求被瀏覽器快取。

2、使SESSION立即過期的方法就比較多了，我們可以session_destroy()，也可以用上面的思路，請求一個session_destroy的頁面。

SESSION安全嗎？

PHP的手冊中明確寫出：SESSION並不能保證儲存在SESSION中的資訊一定只能被他的建立者所看到。
如果想要安全的處理一些遠端的操作，那麼HTTPS是唯一的選擇。最基本的，不要認為一個使用者資訊在SESSION中存在就認為這個使用者一定就是他本人，雖然SESSION中的資訊會給你他已經經過了使用者名稱和密碼驗證的假象。所以，如果需要做一些修改密碼或者類似的事情的時候，讓使用者重新輸入密碼是一個比較好的選擇。
早期的Apache版本並沒有採用COOKIE的方式來儲存PHPSESSID，而是採用的URL-rewrite，也就是每個URL後面都會加上PHPSESSID=<sessionid>來表明它屬於那個啟用的SESSION，新版的Apache已經將這個屬性設定為預設關閉。
session.use_trans_id = 0;

所以從這個意義上來講，延長SESSION的時間過長或者保持SESSION一直線上對於安全來說始終不是一件好事情。終極的解決辦法就是使用者提交跳轉到登入視窗，登入後又能夠回到填寫頁面，並且所有的資料都還在。這個的實現方式現在用Ajax來解決應該沒什麼困難，每隔一定時間就把當前的使用者資料POST到一個儲存位置，不管是XML或者JSON。

拾遺：

對於客戶端不支援JavaScript的情況可以採用的方法：
1、寫一個浮層，顯示在最頂層，如果使用者未禁用JS，則讓浮層消失；
2、將所有的INPUT都設定為disable，然後再用JS設定為enabled；
以上這兩種方式都是在JS被禁用的時候，所有功能都不能用，如何在JS被禁用的情況下使我們的應用仍然正常工作，這個貌似就比較困難。實現這個的所花的時間和所收到的效果大家要權衡一下。

參考資料
1、SESSION Security                http://uk2.php.net/manual/en/session.security.php
2、WIKI    SESSION                    http://en.wikipedia.org/wiki/Session
3、SESSION（computer science）    http://en.wikipedia.org/wiki/Session_(computer_science)
4、Http Cookie                    http://en.wikipedia.org/wiki/HTTP_cookie
5、PHP.net SESSION                http://cn.php.net/manual/en/intro.session.php
6、OSSP mm                        http://www.ossp.org/pkg/lib/mm/