当用户从特定设备注销时,我想从他到目前为止登录的所有设备注销。我如何在 Laravel 中做到这一点。
我通过安装 "predis/predis": "~1.0" 使用 Redis 将 userId 保留在会话中
这是我的登录和注销控制器:
public function postSignIn(Request $request)
{
if (Auth::attempt(['email' => $request['email'], 'password' =>$request['password'] ]) ) {
$redis = \Redis::connection();
$userId=Session::getId();
$redis->sadd('users:sessions:'.$userId,Session::getId());
return redirect()->route('main');
}
return redirect()->back();
}
public function getLogout()
{
$redis = Redis::connection();
$userId=Session::getId();
$userSessions = $redis->smembers('user:sessions:' . $userId);
$currentSession = Session::getId();
foreach ($userSessions as $sessionId) {
if ($currentSession == $sessionId) {
continue;
}
$redis->srem('user:sessions:' . $userId, $sessionId);
$redis->del('laravel:' . $sessionId);
}
Auth::logout();
return redirect()->route('main');
}
它已成功登录并注销,但它不会终止其他设备中的所有会话。
我该如何解决这个问题?
所以问题是 redis 键名称中的拼写错误, 用于写入数据
$redis->sadd('users:sessions:'.$userId,Session::getId());
其中键的前缀 'users:sessions:'
并用于获取数据
$redis->srem('user:sessions:' . $userId, $sessionId);
其中键的前缀 'user:sessions:'
这就是为什么代码不起作用并且 dd()
返回空数组。
所以正确的代码看起来像这样
public function postSignIn(Request $request)
{
if (Auth::attempt(['email' => $request['email'], 'password' =>$request['password'] ]) ) {
$redis = \Redis::connection();
$userId=Session::getId();
$redis->sadd('user:sessions:'.$userId,Session::getId());
return redirect()->route('main');
}
return redirect()->back();
}
public function getLogout()
{
$redis = Redis::connection();
$userId=Session::getId();
$userSessions = $redis->smembers('user:sessions:' . $userId);
$currentSession = Session::getId();
foreach ($userSessions as $sessionId) {
if ($currentSession == $sessionId) {
continue;
}
$redis->srem('user:sessions:' . $userId, $sessionId);
$redis->del('laravel:' . $sessionId);
}
Auth::logout();
return redirect()->route('main');
}
我对您的问题有一个建议/解决方法:
使用未存储在数据库中的会话是非常痛苦的,因此您必须以不同的方式思考才能解决问题。不同的解决方案是在用户注销时记录用户 ID 和时间。然后创建中间件,如果连接早于上次注销日期,该中间件将断开用户连接。仅此而已。
我的原型看起来像这样:
在下面的
postSignIn
方法行中将记录用户(会话)登录日期:app('request')->session()->put('login_date', time());
在下面的
getLogout
方法行中将全局记录用户注销日期:
\Cache::put('last_logout_'.\Auth::id(), time());
最后的接触将是具有类似于以下代码的中间件:
if ($user = \Auth::user()) {
$login_date = app('request')->session()->get('login_date');
$last_logout_date = \Cache::get('last_logout_' . $user->id, time() + 100);
if ($login_date < $last_logout_date) {
\Auth::logout();
//redirect, error message...
}
}
完整代码:
方法:
public function postSignIn(Request $request)
{
if (Auth::attempt(['email' => $request['email'], 'password' => $request['password']])) {
app('request')->session()->put('login_date', time());
return redirect()->route('main');
}
return redirect()->back();
}
public function getLogout()
{
\Cache::put('last_logout_' . \Auth::id(), time());
Auth::logout();
return redirect()->route('main');
}
中间件:
<?php
namespace App\Http\Middleware;
use Closure;
class LogoutIfExpired
{
public function handle($request, Closure $next, $guard = null)
{
if ($user = \Auth::user()) {
$login_date = app('request')->session()->get('login_date');
$last_logout_date = \Cache::get('last_logout_' . $user->id, time() + 100);
if ($login_date < $last_logout_date) {
\Auth::logout();
return redirect()->route('main');
}
}
return $next($request);
}
}
您的Redis只会在用户登录时存储设备的Session。如果用户从其他设备登录,Session ID将被替换,因此该解决方案将不起作用。