Php 如何在Symfony 2.7中关闭用户的所有会话?
用户更改密码(在恢复密码操作中)后,我需要使连接到该用户的所有会话无效(他可能登录到多个浏览器/设备)。因此,在使用新密码将用户保存到数据库中后,我需要关闭该用户在不同浏览器/设备中可能处于活动状态的所有会话。我试过这个:Php 如何在Symfony 2.7中关闭用户的所有会话?,php,symfony,symfony-2.7,Php,Symfony,Symfony 2.7,用户更改密码(在恢复密码操作中)后,我需要使连接到该用户的所有会话无效(他可能登录到多个浏览器/设备)。因此,在使用新密码将用户保存到数据库中后,我需要关闭该用户在不同浏览器/设备中可能处于活动状态的所有会话。我试过这个: $token = new UsernamePasswordToken($user, null, 'main', $user->getRoles()); $this->get('security.token_storage')->setToken($token
$token = new UsernamePasswordToken($user, null, 'main', $user->getRoles());
$this->get('security.token_storage')->setToken($token);
还尝试:
$this->get('security.token_storage')->getToken()->setAuthenticated(false);
这也是:
$this->get('security.token_storage')->setToken(null);
提前谢谢
我已将此添加到我的用户类:
class User implements UserInterface, EquatableInterface, \Serializable{
// properties and other methods
public function isEqualTo(UserInterface $user){
if ($user->getPassword() !== $this->getPassword()){
return false;
}
if ($user->getEmail() !== $this->getEmail()){
return false;
}
if ($user->getRoles() !== $this->getRoles()){
return false;
}
return true;
}
/** @see \Serializable::serialize() */
public function serialize()
{
return serialize(array(
$this->id,
$this->email,
$this->password,
// see section on salt below
// $this->salt,
));
}
/** @see \Serializable::unserialize() */
public function unserialize($serialized)
{
list (
$this->id,
$this->email,
$this->password,
// see section on salt below
// $this->salt
) = unserialize($serialized);
}
}
尝试$session->clear()代码>
根据默认设置检查,您应该已经进行了检查
例如,如果两个用户对象上的用户名由于某种原因不匹配,则该用户将出于安全原因注销。(...)
Symfony还使用用户名、salt和密码来验证用户在请求之间是否没有更改
我不知道您的用户是如何配置的,但您可能需要实施您需要跟踪该用户打开的每个会话。由于他可能登录多个浏览器/设备,他可能使用不同的会话
一种简单的方法是将会话id的引用与用户id一起保存,这样就可以获得用户的所有sessionD
namespace AppBundle\Security;
use Symfony\Component\EventDispatcher\EventSubscriberInterface;
use Symfony\Component\Security\Http\Event\InteractiveLoginEvent;
use Symfony\Component\Security\Http\SecurityEvents;
class LoginListener implements EventSubscriberInterface
{
public static function getSubscribedEvents()
{
return array(
SecurityEvents::INTERACTIVE_LOGIN => 'onSecurityInteractiveLogin',
);
}
public function onSecurityInteractiveLogin(InteractiveLoginEvent $event)
{
$user = $event->getAuthenticationToken()->getUser();
$session = $event->getRequest()->getSession();
/*
* Save $user->getId() and $session->getId() somewhere
* or update it if already exists.
*/
}
}
然后注册一个security.interactive\u login
事件,该事件将在用户每次登录时触发。然后,您可以将侦听器注册到
<service id="app_bundle.security.login_listener" class="AppBundle\Security\LoginListener.php">
<tag name="kernel.event_subscriber" />
</service>
塞伯卡
这是Symfony安全性本身的一个缺陷:
因此,您必须覆盖抽象令牌Upvoted,因为我自己也不完全确定-阅读此内容是因为您希望使连接到用户的所有会话(可以登录到多个浏览器/设备)无效是的,这就是我需要的。我将重写问题,以便更清楚。会话将一个浏览器与服务器“通信”。在这种情况下,用户可以登录多个浏览器/设备。因此,我需要关闭属于该用户的所有会话。很抱歉,如果我第一次没能写出问题。很抱歉,我没能理解^^我已经按照你的建议更新了我的代码,但仍然不起作用,可能我遗漏了什么。谢谢看起来不错,不知道为什么不行。可能不值得调试,并查看isEqualTo
是否按预期返回false。也许您可以引入一些额外的列version
,当密码更新时,这些列也会计数并序列化它。只是尝试了一次,得到的无法更改活动会话的ID
。例如,如果您实际登录,似乎无法使第三方会话无效。您应该创建一个新的会话对象。我们可以看到您的代码吗?在$session=newsession()之间也是如此
和$session=$request->getSession()代码>。你可以用session\u id($sessiond)欺骗它代码>而不是使用->setId()代码>:)这是一个很好的方法,但是不在数据库中存储会话(安全方面),而是在Redis中存储会话呢?另外,在redis上,您可以为保存的条目设置超时。
$session = new Session();
$session->setId($sessid);
$session->start();
$session->invalidate();