特定のPHPセッションを破壊する方法

Question

私は、PHPで特定のセッションを破壊する方法の洞察を探しています。パートナーWebサイトを通じて、ユーザーはトークンを使用してメインWebサイトにログインし、フルセッションを取得します。

ユーザーがパートナーWebサイトからログアウトした場合、パートナーWebサイトは破棄機能を呼び出すこともできます。その後、自分のユーザーもログアウトする必要があります。

これにはどのような方法が最適ですか？ Zend_Session destroyメソッドはパラメータを受け入れません。同様に、PHP関数session_destroyも同様です。

は、私は2つのオプションを検討しています：ファイル/ memcacheのから直接セッション情報を削除

1. をこれより「クリーン」なアプローチを好むだろう。

2. これは「トークン」ユーザーであるかどうかすべてのページリクエストを確認します。リストを維持してトークンが期限切れになっていないかどうかを確認します。これは、ビジーなウェブサイトにオーバーヘッドを追加しますが、私の唯一の選択肢かもしれません。

私は見ていない3番目の/より良いアプローチがありますか？

Answer 1

ユーザのセッションを「キックする」ことができるようにするには、セッションストレージにMySQL（またはその他のdb、sqlite偶数）を使用する場合のみ可能です。

次に、データベースからエントリを削除するだけで、セッションを終了できます。

これはまた、あなたがそのような特定のユーザーのセッションや他のもの:)

の「制御を取る」として物事を行う行うことができて、非常に基本的な実行のためにこれを参照してください：http://www.devshed.com/c/a/MySQL/Custom-Session-Management-Using-PHP-and-MySQL/（ない最良の例が、十分あなたを起動する完全な例）。

EDITまた

、パートナーのサイトを介しログアウト、別の方法は、私は彼らが「コールバック」が指定された（O2および他のこのようなサイトであった）過去に使用している場合（REST APIコールほとんどの場合）、ユーザが自分のサイトからログアウトしたときに呼び出す必要があります。

Answer 2

データベースソリューションは、セッションデータベースをmainwebsiteとパートナーサイト間で共有する必要があることを意味します。これは頻繁にはそうではありません。これらの単純な行に沿ったもので十分でしょうか？

<img src="mainwebsite/logout.php"> 

mainwebsite/logout.php：

<?php session_destroy(); ?> 

Answer 3

ロール自分で自分のためのセッション処理を必要はありません。

session_id（）は、作業するセッションIDであるパラメータを取ることができます。

したがって、ユーザーをパートナーサイトに渡すときは、session_id（または何らかのトークンなど）を渡します。

そして、パートナーサイトは、このようなスクリプトをヒットすることができます：

キル・ユーザーsession.php

<?php 
/** 
* Destroy any active session identified by $_POST['sid'] 
*/ 
session_id($_POST['sid']); 
session_start(); //this line may not even be necessary 
session_destroy(); //destroys that session. 

したがって、ユーザーがパートナーサイトでログアウトすると、パートナーサイトの記事あなたがkill-user-sessionスクリプトに与えたsession_id（あなたが与えたもの）は、あなたのサーバ上で破棄されます。

もちろん、何らかの方法でkill-user-session.phpへのアクセスを制限したいと思うかもしれません。