Sessionök

*********

<div class=perex>

A HTTP egy állapot nélküli protokoll, azonban szinte minden alkalmazásnak szüksége van az állapot megőrzésére a kérések között, például a bevásárlókosár tartalmának megőrzésére. Pontosan erre szolgál a session vagy munkamenet. Megmutatjuk,

- hogyan használjuk a sessionöket

- hogyan kerüljük el a névütközéseket

- hogyan állítsuk be a lejárati időt

</div>

Sessionök használatakor minden felhasználó egyedi azonosítót kap, az úgynevezett session ID-t, amelyet cookie-ban továbbítanak. Ez kulcsként szolgál a session adatokhoz. Ellentétben a cookie-kkal, amelyek a böngésző oldalán tárolódnak, a session adatok a szerver oldalán tárolódnak.

A sessiont a [konfigurációban |configuration#Session] állítjuk be, különösen fontos a lejárati idő megválasztása.

A session kezeléséért a [api:Nette\Http\Session] objektum felelős, amelyhez úgy juthat hozzá, hogy [dependency injection |dependency-injection:passing-dependencies] segítségével átadja magának. A presenterekben elég csak a `$session = $this->getSession()` metódust meghívni.

→ [Telepítés és követelmények |@home#Telepítés]

Session indítása

================

A Nette alapértelmezés szerint automatikusan elindítja a sessiont abban a pillanatban, amikor elkezdünk olvasni belőle vagy adatokat írni bele. Manuálisan a session a `$session->start()` segítségével indítható el.

A PHP a session indításakor HTTP fejléceket küld, amelyek befolyásolják a gyorsítótárazást, lásd [php:session_cache_limiter], és adott esetben a session ID-t tartalmazó cookie-t is. Ezért mindig el kell indítani a sessiont még azelőtt, hogy bármilyen kimenetet küldenénk a böngészőbe, különben kivétel váltódik ki. Ha tehát tudja, hogy az oldal megjelenítése során sessiont fog használni, indítsa el manuálisan előtte, például a presenterben.

Fejlesztői módban a Tracy indítja el a sessiont, mert azt használja az átirányítási és AJAX kérések sávjainak megjelenítésére a Tracy Barban.

Szekciók

========

Tiszta PHP-ban a session adattárolója egy tömbként valósul meg, amely a `$_SESSION` globális változón keresztül érhető el. A probléma az, hogy az alkalmazások általában számos egymástól független részből állnak, és ha mindegyiknek csak egy tömb áll rendelkezésére, előbb-utóbb névütközés következik be.

A Nette Framework ezt a problémát úgy oldja meg, hogy az egész teret szekciókra ( [api:Nette\Http\SessionSection] objektumokra) osztja. Minden egység ezután saját, egyedi nevű szekciót használ, és így már nem fordulhat elő ütközés.

A szekciót a sessionből kapjuk meg:

```php

$section = $session->getSection('unikatni nazev');

```

A presenterben elég a `getSession()`-t használni paraméterrel:

```php

// $this egy Presenter

$section = $this->getSession('unikatni nazev');

```

A szekció létezését a `$session->hasSection('unikatni nazev')` metódussal ellenőrizhetjük.

Magával a szekcióval ezután nagyon egyszerűen dolgozhatunk a `set()`, `get()` és `remove()` metódusokkal:

```php

// változó írása

$section->set('userName', 'franta');

// változó olvasása, null-t ad vissza, ha nem létezik

echo $section->get('userName');

// változó törlése

$section->remove('userName');

```

Az összes változó megszerzéséhez a szekcióból használhatjuk a `foreach` ciklust:

```php

foreach ($section as $key => $val) {

echo "$key = $val";

}

```

Lejárati idő beállítása

-----------------------

Az egyes szekciókhoz vagy akár egyes változókhoz is beállítható lejárati idő. Így például hagyhatjuk, hogy a felhasználó bejelentkezése 20 perc múlva lejárjon, miközben továbbra is megjegyezzük a kosár tartalmát.

```php

// a szekció 20 perc múlva lejár

$section->setExpiration('20 minutes');

```

Az egyes változók lejárati idejének beállítására a `set()` metódus harmadik paramétere szolgál:

```php

// a 'flash' változó már 30 másodperc múlva lejár

$section->set('flash', $message, '30 seconds');

```

.[note]

Ne felejtse el, hogy az egész session lejárati ideje (lásd [session konfiguráció |configuration#Session]) meg kell hogy egyezzen vagy magasabb legyen, mint az egyes szekciókhoz vagy változókhoz beállított idő.

A korábban beállított lejárati idő törlését a `removeExpiration()` metódussal érhetjük el. Az egész szekció azonnali törlését a `remove()` metódus biztosítja.

$onStart, $onBeforeWrite események

----------------------------------

A `Nette\Http\Session` objektumnak vannak [$onStart és $onBeforeWrite eseményei |nette:glossary#Eventek események], így hozzáadhat callbackeket, amelyek a session indítása után vagy a lemezre írása és az azt követő befejezése előtt hívódnak meg.

```php

$session->onBeforeWrite[] = function () {

// adatokat írunk a sessionbe

$this->section->set('basket', $this->basket);

};

```

Session kezelés

===============

A `Nette\Http\Session` osztály metódusainak áttekintése a session kezeléséhez:

<div class=wiki-methods-brief>

start(): void .[method]

-----------------------

Elindítja a sessiont.

isStarted(): bool .[method]

---------------------------

El van indítva a session?

close(): void .[method]

-----------------------

Befejezi a sessiont. A session automatikusan befejeződik a szkript futásának végén.

destroy(): void .[method]

-------------------------

Befejezi és törli a sessiont.

exists(): bool .[method]

------------------------

Tartalmaz a HTTP kérés cookie-t session ID-vel?

regenerateId(): void .[method]

------------------------------

Új, véletlenszerű session ID-t generál. Az adatok megmaradnak.

getId(): string .[method]

-------------------------

Visszaadja a session ID-t.

</div>

Konfiguráció

------------

A sessiont a [konfigurációban |configuration#Session] állítjuk be. Ha olyan alkalmazást ír, amely nem használ DI konténert, ezek a metódusok szolgálnak a konfigurációhoz. Ezeket még a session elindítása előtt kell meghívni.

<div class=wiki-methods-brief>

setName(string $name): static .[method]

---------------------------------------

Beállítja annak a cookie-nak a nevét, amelyben a session ID-t továbbítják. A standard név `PHPSESSID`. Hasznos abban az esetben, ha egy webhelyen belül több különböző alkalmazást üzemeltet.

getName(): string .[method]

---------------------------

Visszaadja annak a cookie-nak a nevét, amelyben a session ID-t továbbítják.

setOptions(array $options): static .[method]

--------------------------------------------

Konfigurálja a sessiont. Beállíthatók az összes PHP [session direktíva |https://www.php.net/manual/en/session.configuration.php] (camelCase formátumban, pl. `session.save_path` helyett `savePath`-t írunk) és a [readAndClose |https://www.php.net/manual/en/function.session-start.php#refsect1-function.session-start-parameters] is.

setExpiration(?string $time): static .[method]

----------------------------------------------

Beállítja az inaktivitási időt, amely után a session lejár.

setCookieParameters(string $path, ?string $domain=null, ?bool $secure=null, ?string $samesite=null): static .[method]

---------------------------------------------------------------------------------------------------------------------

Cookie paraméterek beállítása. A paraméterek alapértelmezett értékeit megváltoztathatja a [konfigurációban |configuration#Session cookie].

setSavePath(string $path): static .[method]

-------------------------------------------

Beállítja a könyvtárat, ahová a session fájlok mentésre kerülnek.

setHandler(\SessionHandlerInterface $handler): static .[method]

---------------------------------------------------------------

Saját handler beállítása, lásd [PHP dokumentáció|https://www.php.net/manual/en/class.sessionhandlerinterface.php].

</div>

Biztonság mindenekelőtt

=======================

A szerver feltételezi, hogy ugyanazzal a felhasználóval kommunikál, amíg a kéréseket ugyanaz a session ID kíséri. A biztonsági mechanizmusok feladata annak biztosítása, hogy ez valóban így legyen, és ne lehessen az azonosítót ellopni vagy meghamisítani.

A Nette Framework ezért helyesen konfigurálja a PHP direktívákat, hogy a session ID-t csak cookie-ban továbbítsa, JavaScript számára hozzáférhetetlenné tegye, és az URL-ben lévő esetleges azonosítókat figyelmen kívül hagyja. Ezenkívül kritikus pillanatokban, mint például a felhasználó bejelentkezésekor, új session ID-t generál.

.[note]

A PHP konfigurálásához az ini_set függvényt használják, amelyet sajnos néhány hosting szolgáltató letilt. Ha ez az Ön szolgáltatójának esete is, próbáljon meg velük megegyezni, hogy engedélyezzék a függvényt, vagy legalább konfigurálják a szervert.