×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
図にまとめたので上げておきます。
要点は
・laravelのセッションはネイティブPHPのセッションを使っていない。
・cookieに設定される値は暗号化される。
・cookieに保存されるセッションid(laravel_session)とトークン(XSRF-TOKEN)はcookie名が違う。
・tokenはセッション作成時に発行され、regenerateしない限り不動。
・tokenをリクエストする方法は3通り(ヘッダ2パターン、パラメータ1パターン)ある。
というところあたりだと思います。
意外な落とし穴では
・cookieの暗号化はenvのAPP_KEYがsaltに使われているので変更すると複合できなくなる
・URL毎にlaravel_sessionにあたるcookie名を分けている場合、XSRF-TOKENも揃えないと意味がない
(x-csrf-token, _tokenだけで制御されているなら不要ですが)
・XSRF-TOKENのcookieの有効期限がなぜかソースに直書きになっているので
期限を伸ばすならばオーバーライドが必要
https://teratail.com/questions/27003
という点が挙げられます。
要点は
・laravelのセッションはネイティブPHPのセッションを使っていない。
・cookieに設定される値は暗号化される。
・cookieに保存されるセッションid(laravel_session)とトークン(XSRF-TOKEN)はcookie名が違う。
・tokenはセッション作成時に発行され、regenerateしない限り不動。
・tokenをリクエストする方法は3通り(ヘッダ2パターン、パラメータ1パターン)ある。
というところあたりだと思います。
意外な落とし穴では
・cookieの暗号化はenvのAPP_KEYがsaltに使われているので変更すると複合できなくなる
・URL毎にlaravel_sessionにあたるcookie名を分けている場合、XSRF-TOKENも揃えないと意味がない
(x-csrf-token, _tokenだけで制御されているなら不要ですが)
・XSRF-TOKENのcookieの有効期限がなぜかソースに直書きになっているので
期限を伸ばすならばオーバーライドが必要
https://teratail.com/questions/27003
という点が挙げられます。
PR
CSRF TOKENと関わりの深い話題だと思うので[こちら]もどうぞ。
「せや!セッション持続時間を永続化したろ!」
「せや!セッション持続時間を永続化したろ!」
「expire_on_close = true!これで放置しても大丈夫やで!」
〜約2時間後〜
SE「消えたンゴ」
PG「ワイは消えてない・・・なぜなのか」
という状況の解決策をシェアしたいと思います。
解決策:
lifetimeを長めに取ってみて下さい。
gc(ガベージコレクション)がセッションデータを削除しているかもしれません。
expire_on_closeがtrueならlifetimeは無視されると思いきや・・・
実はガベージコレクションの判定では使用されています。
LaravelもネイティブPHPも、セッションデータを失う条件は
LaravelもネイティブPHPも、セッションデータを失う条件は
1.cookieが削除された
2.セッション自体の有効期限が切れた
3.gcが発動した
の3通りが主で、Laravelの場合1と2はexpire_on_closeで対応できますが
3はlifetime + lotteryの設定で動作するようになっています。
要するに、expire_on_closeがtrueでセッション自体の有効期限を永続化しても
ガベージコレクションが起こればデータが削除される場合があるということです。
例えば、lifetimeが120、lotteryが[2, 100]であるならば
そのサーバに誰かからアクセスされる度、
2/100(=2%)の確率で2時間以上更新されていないセッションデータを削除するという動きをします。
(消えたり消えなかったりのムラはこの確率判定が原因です)
極端な話、lifetime = 1 / lottery = [100, 100]にすると、
expire_on_close = trueでも
expire_on_close = trueでも
1分以内にアクセスしなければセッションが吹っ飛ぶ様を見ることができます。
放置されがちなアプリなら2時間は短いと思うので、例えば
「1週間触られていないセッションデータはさすがにゴミデータですよね」というポリシーなら
lifetimeは 60分 x 24時間 x 7日 = 10080
等と設定すれば良いと思います。
gcを緩めすぎてデータ量が肥大化しないよう、
アプリの用途と規模を考慮し、用法用量を考えて正しくご設定くださいませ。
いつもお世話になっているHtml, Formの生成ヘルパーである LaravelCollective/Html
Laravelのコアから外れた今でも、その利便性が褪せることはありません。
しかしながら、その機能の中で、今までどうしても不満に思っていた点がありました。
それは、Form Model Bindingをする時に
日付がCarbonである場合、テキスト出力される際にフォーマットが指定できず、
テキスト欄に強制的にY-m-d H:i:sと出てきてしまっていた点です。
なぜここだけこんなにも融通が利かないんだろう。
という印象を受けた人は一人ではないのではないかと思います。
私も、dateと datetimeメソッドをフォーマット指定が可能なように
拡張したクラスを作成しようか何度も迷っていました。
最近もまた、そんなことを考えていたところ!
Ver5.2から新機能が追加されてた。
FormModelBinding専用のアクセサが実装できるようです。
このように書くことができるようになります。(公式より抜粋)
https://laravelcollective.com/docs/5.2/html#form-model-accessors
namespace App; use Carbon\Carbon; use Illuminate\Database\Eloquent\Model; class User extends Model { /** * Get the user's first name. * * @param string $value * @return string */ public function getDateOfBirthAttribute($value) { return Carbon::parse($value)--->format('m/d/Y'); } /** * Get the user's first name for forms. * * @param string $value * @return string */ public function formDateOfBirthAttribute($value) { return Carbon::parse($value)->format('Y-m-d'); } }
formDateOfBirthAttribute が専用アクセサですね。
(getDateOfBirthAttributeはもともとあるEloquentのアクセサです)
まだ自由自在になりきったというところまではいかないものの、
普段使いで露骨に不足しない程度にはなってきたのではないかと思います。
ありがたいことです。
HOME |
カレンダー
最新記事
(05/29)
(04/24)
(04/24)
(02/07)
(07/26)