将 cookie.gc_maxlifetime 延长至一周是实现“记住我”的好主意吗？

Question

cookie.gc_maxlifetime 的默认设置是 24 分钟，所以即使我将 cookie 设置为一周后过期，“记住我”也会工作 24 分钟，所以我考虑延长 gc_maxlifetime，但也许有更好的解决方案？

Answer 1

垃圾收集器之所以被称为垃圾收集器，是因为它确实收集垃圾：如果您不删除旧的会话文件，那么任何人都可以简单地在您的站点上发出数十亿个 GET / 请求（不保存 cookie），并且您的服务器将生成数十亿个会话文件，而这些文件不会被删除。删除一周 - 它可能会大大减慢您的网站速度，甚至弄乱您的文件系统。如果您想实现“记住我”功能 - 那么您将必须进行自己的垃圾收集（例如来自同一 IP 的会话不超过 100 个等），甚至可能实现您自己的会话处理（例如存储它们）在数据库中以提高会话数据查找速度并为更好的可扩展性做好准备）。

Answer 2

我想 session.gc_maxlifetime 和也许 session.cookie_lifetime 就是你的意思？

好吧，你可以这样做，让你的会话持续那么长时间。我不想使用内置的会话处理，而是设置一个具有我想要的生命周期和一些哈希值的 cookie；我会将该哈希值保留在数据库中。

在我看来，“正常”会话持续那么长时间并不是一个好主意，例如出于安全原因。