laravel5.2 任意中间件每次请求都会生成新session

[###############################################################]
【20170111更新】
在exit函数前加入如下代码即可完成session保存(session落地)的存储过程,此操作不会被Auth::attempt 干扰,可自行封装。此方式由@mylxsw 协助解决。

use Illuminate\Contracts\Encryption\Encrypter;
use Symfony\Component\HttpFoundation\Cookie;

 /** @var SessionManager|SessionInterface $session */
        $session = session();

        var_dump($session->get('aaa'));//test 可删除

        $session->migrate();
        $session->set('aaa', time());//test 可删除

        $session->save();

        $resp = response()->make();
        /** @var Encrypter $encrypter */
        $encrypter = app(Encrypter::class);
        $cookie = new Cookie(
            $session->getName(),
            $encrypter->encrypt($session->getId()),
            0,
            config('session.path'),
            config('session.domain'),
            config('session.secure'),
            false
        );

        $resp->withCookie($cookie);
        $resp->send();
        exit();

[###############################################################]
【20170110更新】
终结帖,问题最终感谢@mylxsw 调试协助处理。
调试过程中由于我自己封装了一个debug函数,里面存在exit代码,会停止当前脚本的执行,导致laravel不会保存session数据到文件中。

function debug_show($datas){
    echo '<pre>';
    session()->save();
    print_r($datas);exit;
}

之前看到文章说是laravel必须要进行保存session操作,因为保存之前的读写操作都只是在内存中操作并不会写到文件中。
机智的补上session()->save()到函数中,结果还是不行。
问题继续回到session 如何正常在exit前 保存到文件中。
非常感谢@member@mylxsw@大舒 的解答。

[###############################################################]

1.laravel5.2 任意中间件每次请求都会生成新session

2.routes.php

Route::group(['middleware' => ['web']], function () {
    //
    Route::get('/login', function () {
        return view('welcome');
    });
}

3.服务端返回的新session id

clipboard.png

感谢各位的回答,不过我现在还是登录不了,目前状况是
【page1】

Auth::attempt($userinfo); //验证成功 1
Auth::user(); //获取用户信息
session()->put(['name'=>'test-time:'.time()]);//用于测试

【page2】

dd(Auth::user());//输出用户信息
echo session()->get('name');//输出测试session值

出现情况

  • page1中,如果写了attempt方法,那page2将获取不到任何session数据,而且会多生成一个session文件。同属于Auth对象中的user方法却不受影响,追查之下发现这个函数最终会调用session类中的migrate方法,方法体中会重新生成一个新的sessionid(generateSessionId)赋值到当前对象中的id中,最后可能页面执行结束的时候session对象以新的id返回给客户端,导致第二次访问时获取不到之前的数据。

  • 如果不写attempt方法,将不会收到影响,第二页面依然可以获取到之前写session数据,session文件不会增加。

  • 如果屏蔽掉这个代码 $this->id = $this->generateSessionId();可以实现登录和保留session数据

追查函数过程:

Auth::attempt =>  this->login => $this->updateSession  =>  $this->session->migrate  =>  $this->generateSessionId

这个laravel原本的逻辑我也没有怎么改动,如果本身就这么写的,那我可能是其他哪里的问题影响了。想知道大概是哪里的问题所影响,毕竟按照上面第三个情况来看,直接屏蔽掉会不太好。

阅读 6.1k
3 个回答

确实会变,主要是安全考虑,这是因为使用了web中间件,这个中间件包含了EncryptCookies这个中间件,该中间件负责将Cookie进行加密,加密方式与生成密码的方式是一样的,同样的内容,每次加密生成的密文是不同的。参考一下AppHttpKernel中的配置

protected $middlewareGroups = [
    'web' => [
        EncryptCookies::class,
        AddQueuedCookiesToResponse::class,
        StartSession::class,
        ShareErrorsFromSession::class,
        VerifyCsrfToken::class,
    ],

    'api' => [
        'throttle:60,1',
    ],
];

去掉EncryptCookies::class,刷新页面两次后就可以看到session不会在变化了

因为这是加密的字符串,每次都变化是很正常的

同一内容,同时执行两次,都会生成不同的密文

并且laravel的确会每次都set-cookie: session=

如果你总是登录不了,考虑是否是因为session pathsession domain设置错误

怀疑你是把session全部存在cookie里了,这样每次访问,session(cookie)有变化很正常。

可以手动打出session id比对,看一下是不是。

推荐问题
宣传栏