我在Laravel中使用cookie session 驱动程序时遇到了麻烦。
我有一个简单的表格,其中有一个验证。这是我保存此表单数据的方法:
public function store()
{
$this->validate(request(), [
'name' => 'required',
'title' => 'required',
'description' => 'required|max:600',
'image' => 'required|file|mimes:jpeg,png',
]);
$member = TeamMember::create(request()->all());
$member->addImage(request()->file('image'));
return redirect()->route('backoffice.team-members');
}
很简单
问题是,当使用cookie session 驱动程序时,如果我保存的表单长为1024个字符,我将被重定向回,但 View 中没有Flash数据,也没有
$errors来处理下一个请求。例子:
使用此行后,这是一个POST:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce gravida eros ut leo commodo luctus. Nulla neque dui, laoreet quis felis in, porta tincidunt felis. Phasellus in lacus et sem condimentum ornare. Praesent vitae nisi tempus, gravida tortor eu, convallis dui. Cras lacinia posuere scelerisque. Vestibulum tincidunt purus id sollicitudin varius. Sed eros urna, mattis nec nunc eu, finibus suscipit ipsum. Aliquam varius faucibus congue. Vivamus convallis imperdiet sem a commodo. Proin cursus feugiat sem a pharetra. Curabitur rhoncus non quam sit amet lacinia. Sed ut nisl id odio faucibus vehicula vel ut erat. Vestibulum ut iaculis magna. Quisque sit amet massa sodales, suscipit nisl eu, dapibus elit. Morbi posuere ligula pretium commodo semper. Nam odio elit, rutrum finibus tortor eget, viverra viverra metus. Proin tincidunt tempor ex pretium rhoncus. Proin egestas erat sed eros congue, mollis gravida magna bibendum. Pellentesque vel bibendum nunc. Orci varius natoque penatibus et magnis dis viverra fusce.
在说明字段中。精确到1024个字节。
相反,如果我只是在该字段中填充一些虚拟数据,但没有什么太疯狂的:
如果我将 session 驱动程序更改为file:
... 有用。
但这不能解决我的问题。我确实需要使用cookie驱动程序进行 session ,因为生产网站正在3个不同的数据中心中运行,以实现高可用性。在 session 中使用cookie可以使用户访问3台服务器中的任何一台,并且仍然可以继续其请求,而不必使用任何粘性 session 或任何中央 session 驱动程序。
不能选择使用数据库作为驱动程序(也位于具有HA的群集中),因为这是一个真正的高流量网站,而且每次请求都写一次,听起来根本没有吸引力。我想不惜一切代价防止这种情况发生。
反正有什么可以解决的?
我必须说这是网站的后台,但是前端的用户很快就能在一个文本区域中写出1024个以上的字符...因此,如果我只是更改后台的驱动程序,将无济于事,因为我们将为我们的用户遇到同样的情况。
最佳答案
cookie session 驱动程序不适用于必须在用户 session 中存储大量数据的应用程序。浏览器通常将存储在一个cookie中的数据限制为大约4 KB(4096字节)。如我们发现的,我们可以通过尝试在 session cookie中存储一个1024个字符长的字符串来轻松耗尽这种能力-问题中的“Lorem ipsum ...”字符串仅包含ASCII字符,并且每个ASCII字符都使用4个字节,因此1024×4 = 4096个字节。
如我们所见,当我们需要在一个 session cookie中存储其他项(例如PHP值的序列化元数据)或当数据包含UTF-8字符(每个字符占用4个以上字节)时,我们很快就会开始耗尽空间。特点。为了继续使用cookie来存储大于4 KB的 session 数据,我们需要编写一个自定义的 session 驱动程序,该 session 驱动程序将 session 数据跨多个cookie划分为每个响应,然后在每个请求上重新组合它们。出于充分的理由,我不知道现有的软件包可以执行此操作。这把我引到了下一点...
我想强烈建议阻止使用cookie来存储完整的 session (而不只是 session ID)。这种方法可能会暴露安全漏洞,给请求和响应(包括对同一域中的静态 Assets 的请求)增加开销,有使数据不同步的风险(右键单击“应用程序”选项卡→复制以查看会发生什么情况),使测试和调试复杂化,并导致问题当存储某些类型的数据时。
对于问题中的分布式应用程序,我们有四个选项:
我认为我们可以合理地消除第四个选择。除非我们有充分的理由避免使用前三种方法,并且对于典型的应用程序我们通常不这样做,否则我们无法证明构建用于在系统之间来回传输 session 数据的系统所需的工作量,复杂性和开销前三个选项是标准的,广泛接受的解决方案时的HTTP。
根据问题中的信息,在我看来,您已经了解其他三个选项背后的概念和含义,因此,我不会详细说明每个选项的解释(但是请发表评论让我知道是否可以这样做)。
对于没有高级基础结构要求的应用程序,我建议使用第三种方法:sticky sessions。这些相对容易设置,并且通常需要在负载均衡器上进行配置,以便一旦客户端启动与应用程序服务器的 session ,负载均衡器会将所有后续请求路由到同一服务器,直到 session 结束。为了实现高可用性,我们可以将此方法与配置用于数据中心之间的主从复制的Redis session driver和Redis服务器结合使用,还可以与Redis Sentinel结合使用以自动执行故障转移。与关系数据库相比,Redis非常适合 session 数据并提供更好的性能。如果我们在每个数据中心有多个应用程序实例,则Redis将为一个站点上所有实例的 session 数据提供一个中心位置。
为完整起见并直接回答问题,以下是创建基于cookie的 session 驱动程序以处理大于4 KB的 session 数据所需的开发概述。同样,我推荐上述其他方法之一:
SessionHandlerInterface 的新类(查看Laravel的cookie session handler作为起点,我们可以扩展该类)。 write() 方法将需要序列化 session $data,然后将数据拆分为小于4 KB的块(对于某些浏览器,应小于4093字节)。确保考虑到多字节字符。在拆分数据之前,如果 session 包含敏感信息或者我们不希望聪明的用户弄乱这些值,我们可能还希望对其进行加密。然后,该方法应为 session 数据的每个块添加一个新的cookie。每个cookie将需要在其名称中包含序列,并且我们可以添加一个包含块数量的附加cookie。 read() 方法将反向执行这些操作。首先,它将使用包含块数量的cookie值重新组合请求中的cookie中的每个块,然后,如果我们对数据进行了加密,则可以选择对数据进行解密。 destroy() 方法应清除每个包含块的cookie的内容。 cookie-extended,并在服务提供商的 boot() 方法中,使用以下命令选择register it as an available driver:Session::extend('cookie-extended', ...);
我们需要在config/session.php或.env中指示应用程序使用新的驱动程序进行用户 session 。
如果您决定走这条路,请确保在计划支持的每种浏览器中测试其实现,因为不同的浏览器会对Cookie的大小和数量施加自己的限制。即使我们增加了可以存储为Cookie的 session 数据量,我们仍然受限于浏览器在每个域中接受的Cookie的最大数量。
最后一点,将 session 存储在数据库中可能不会像您想象的那样对性能产生太大影响。在投入大量时间进行优化(可能不是一个真正的问题)之前,可能需要测量此简单解决方案所产生的实际负载。
关于php - Cookie session 驱动程序不会保存任何验证错误或闪存数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46762477/