SESSION机制（转）

转自：http://www.cnblogs.com/zyf-zhaoyafei/p/4477175.html

一：Session与Cookie

Session：在服务器端创建并存放在服务器的内存中的，Session的内容存储是键值对的列表，格式：名称 | 类型：长度：值 
Session的生命周期：在php.ini中 session.gc_maxlifetime 为session设置了生存时间(默认为1440s) 客户端关闭浏览器，不会影响服务器端对session的存储。

Cookie：在服务器端创建并写回到客户端浏览器，Cookie是http标头的一部分，浏览器接到响应头中关于写Cookie的指令则在本地临时文件夹中，创建了一个cookie文件，用来保存的Cookie内容。Cookie内容的存储是键值对的方式 。

Cookie的生命周期：可以设置过期时间，如果不设置则是会话级别的，即关闭浏览器就会消失。

二：执行过程

 1.  过程：浏 览器首次访问服务器，如果是登陆类型的网站，发送请求如果没有带身份，服务器检测不到cookie会跳转到登录窗口，输入用户名和密码后再次请求，用户信 息后验证通过后返回请求页，并在HTTP头中添加setcookie信息，浏览器接受到返回内容后会处理http头部的相应信息，这里会设置 cookie，第二次用户访问服务器时会浏览器会自动把cookie内容读取出来并加到http头部，服务器接受请求后验证提交过来的 cookies是否正确，正确直接就返回相应的页面，不正确则返回登录页面，其中会话是指从一个浏览器窗口打开到关闭这个期间。

2. 原理： PHP默认的Session是基于Cookie的，在此期间首先调用session_start()函数，Session会先判断当前$_COOKIE[session_name()]是否有值（session_name()返回保存session_id的COOKIE键名），这个值可以从php.ini找到 session.name = PHPSESSID（默认值PHPSESSID）。如果没有值，函数会创建一个唯一的SessionID，同时通过header头（header(‘Set-Cookie: session_name()=session_id(); path=/’)） 将SessionID保存到客户端的Cookie中，并且在服务器端生成Session文件，文件名规则是：sess_SESSION_ID（例 如：sess_sgj1k9pq1220g5l6ne283teld1，一个128位的哈希值），Session变量的值经php内部系列化后保存在服务 器机器上的文本文件中和客户端的变量名（默认情况下）为PHPSESSID的Cookie进行对应交互。当再访问这个网站其他页面时将通过http请求头 将客户端的Cookie中保存的SessionID携带过来，这时session_start()函数不会再分配新的SessionID而是在服务器端寻 找和这个SessionID 同名的Session文件将之前保存的信息取出来。

3. 依赖性：PHP 中的Session在默认情况下是使用客户端的Cookie来保存session_id的，所以当客户端的Cookie出问题或者禁用的时候就会影响 Session的使用了。但是Session不一定必须依赖cookie。当客户端的Cookie被禁用或出现问题时，PHP会自动把 session_id附着在url中，这样再通过session_id就能跨页使用Session变量了。这种附着也是有一定条件的，即“php.ini 中的session.use_trans_sid = 1或者编译时打开打开了--enable-trans-sid选项”。但是PHP5只能在Linux平台可以自动检测Cookie的状态而在window 平台上没有此功能。

三：Session的自动回收机制

    session_start() 是Session机制的开始，它有一定概率开启垃圾回收，因为Session是存放在文件中，PHP自身的垃圾回收是无效的，Session的回收是要删 文件的，这个概率是根据php.ini的配置决定的，有的系统的设置是session.gc_probability =0，也就是概率是0，而是通过cron或者是其他脚本来实现垃圾回收。默认配置是：

1 session.gc_probability =1
2 session.gc_divisor     =100
3 session.gc_maxlifetime =1440

过期时间 默认24分钟，概率是 session.gc_probability/session.gc_divisor 结果 1/100，即session_start()函数被调用1000次才会有一次调用垃圾回收程序，所以页面访问越频繁概率就越小，建议值是1/(1000~5000)。不建议设置过小，因为session的垃圾回收，是需要检查每个文件是否过期的。

客户端的Cookie的过期机制：失效了浏览器自然发送不了cookie到服务器，这时即使服务器的Session文件存在也没用，因为PHP不知道要读 取哪个Session文件。我们知道PHP的Cookie过期时间是在创建时设置的，那么PHP在创建session的同时为客户端创建的cookie的 生周期是多久？这个在php.ini中有设置：session.cookie_lifetime 。这个值默认是0，代表浏览器一关闭SESSIONID 就失效。那就是说我们把session.gc_maxlifetime和session.cookie_lifetime设置成同一个值就可以控制 Session的失效时间了

四：Session操作

例如：新添加一个值$_SESSION['name'] ='xiaoming'; 那么这个只会维护在内存中，当脚本执行结束的时候，再把SESSION只会维护在内存中，当脚本执行结束的时候，再把_SESSION的值写入到session_id指定的文件夹中。这个阶段有 可能执行更改session_id的操作，可能销毁一个旧的的session_id，生成一个全新的session_id，例如：角色的转换，当它登录后 需要换用新的session_id

1 if (isset($_COOKIE[session_name()])) {
2        setcookie(session_name(),'',time() -40000,'/');  // session cookie过期
3  }
4 session_regenerate_id();  //这一步会生成新的session_id，再调用session_id()返回的是新的值

销毁session的方法有2种

第一种是通过程序session_destory()方法清除所有session   unset(session['x'])来清除指定的session['x']。

第二种是通过关闭浏览器,关闭后会直接清除所有session。

设置session生命周期的也有2种方法。

第一种  setcookie() 直接用setcookie设置session id的生命周期。

1 $lifetime=60;//保存1分钟
2 session_start();
3 setcookie(session_name(),session_id(),time()+$lifetime,"/");

第二种  session_set_cookie_params()   其中session_regenerate_id();方法用于改变当前session_id的值，并保留session中数组的值。参数默认为false,如果设置为true则改变session_id的值，并清空当前session数组。

1 $lifetime=60;//保存1分钟
2 session_set_cookie_params($lifetime);
3 session_start();
4 session_regenerate_id(true);

session相关概念

1) session id

用户session唯一标识符，随机生成的一串字符串，具有唯一性，随机性。主要用于区分其它用户的session数据。用户第一次访问web页面的时 候，php的session初始化函数调用会分配给当前来访用户一个唯一的ID，也称之为session_id。

2) session data

我们把需要通过session保存的用户状态信息，称为用户session数据，也称为session数据。

3) session file

PHP默认将session数据存放在一个文件里。我们把存放session数据的文件称为session文件。它由特殊的php.ini设置session.save_path指定session文件的存放路径，CentOS5.3操作系统，PHP5.1默认存放在/var/lib/php /session目录中。

4) session lifetime

我们把初始化session开始，直到注销session这段期间，称为session生命周期，这样有助于我们理解session管理函数。

与session存储相关php.ini设置

1) session.save_handler = file

用于读取/回写session数据的方式，默认是files。它会让PHP的session管理函数使用指定的文本文件存储session数据。

2) session.save_path =“/var/lib/php/session”

指定保存session文件的目录，可以指定到别的目录，但是指定目录必须要有httpd守护进程属主(比如apache或www等)写权限，否则无法 回存session数据。当指定目录不存在时，php session环境初始化函数是不会帮你创建指定目录的，所以需要你手工建立指定目录。

它还可以写成这样session.save_path =“N;/path” 其中N是整数。这样使得不是所有的session文件都保存在同一个目录中，而是分散在不同目录。这对于服务器处理大量session文件是很有帮助的。(注:目录需要自己手工创建)

3) session.auto_start = 0

如果启用该选项，用户的每次请求都会初始化session。我们推荐不启用该设置，最好通过session_start()显示地初始化session。

五：Session的同步与对影响系统性能

　　1：session在大访问量网站上确实影响系统性能，影响性能的原因之一由文件系统设计造成，在同一个目录下超过10000个文件时，文件的 定位将非常耗时，PHP支持Session目录hash，我们可以通过修改php.ini中session.save_path = “2;/path/to/session/dir”，那么session将存储在两级子目录中，每个目录有16个子目录[0~f]，PHP session不支持创建目录，需要事先把那么些目录创建好 。

2：小文件的效率问题，一般我们的Session数据都不会太大（1～2K），如果有大量这样1～2K的文件在磁盘上，IO效率很差，PHP手册上建议使用Reiserfs文件系统。

六：同步问题（session共享）

1：使用数据库保存session， 使用数据库来保存session,就算服务器宕机了也没事，session照样在。问题：程序需要定制；每次请求都进行数据库读写开销不小(使用内存数据 库可以提高性能，宕机就会丢失数据。可供选择的内存数据库有BerkeleyDB,Mysql的内存表)；另外数据库是一个单点，可以做数据库的ha来解 决这个问题。

　　2：使用memcached来保存session， 这种方式跟数据库类似，不过因为是内存存取的，性能自然要比数据库好多了。当然存储在redis也是比较理想的选择，方便存储统计在线人数，那么存储在redis中也实现了这个要求，而且redis支持的数据类型多。问题：程序需要定制，增加 了工作量；存入memcached中的数据都需要序列化，效率较低；如果是文件形式的，你可以用NFS统一存储。

3：还有一种方式是通过加密的cookie来实现，用户在A服务器上登录成功，在用户的浏览器上添加一个加密的cookie，当用户访问B服务器时，检查有无Session，如果有当然没问题，如果没有，就去检验Cookie是否有效，Cookie有效的话就在B服务器上重建session。简单，高效，服务器的压力减小了，因为session数据不存在服务器磁盘上。根本就不会出现session读取不到的问题。。 问题：网络请求占用很多。每次请求时，客户端都要通过cookie发送session数据给服务器，session中数据不能太多，浏览器对cookie的大小存在限制。每个浏览器限制是不同的，比如：Firefox和Safari允许cookie 4097个字节，Opera允许cookie4096个字节，IE允许cookie4095个字节，所以不适合高访问量的情况，因为高访问量的情况下，每次请求浏览器都要发送session数据给服务器，一个cookie大小2k左右。