使用多个前端处理 PHP 会话

Question

我们在 HA 中有 2x pfSense FW，在这之后，2x Zen 负载均衡器在主/从集群中，在这些之后，3x 前端 Web 堆栈服务器 运行 NGinx、PHP-FPM、PHP-APC。在同一网段，主/从复制中有2x MySQL DB Servers。

应该在 1440 秒后“清理”前端的 PHP 会话：

session.gc_maxlifetime = 1440

.

当用户关闭浏览器时 Cookies 过期：

session.cookie_lifetime = 0

今天，一位最终用户提醒我们他们已登录（网站上基于 PHP 的登录表单），但被验证为完全不同的用户。至少可以说这很不方便。

ZLB 设置为使用 Hash: Sticky Client。他们应该在会话期间将用户固定在一个前端 (FE) 上。我能想到这种情况发生的唯一原因是两个 FE 生成了相同的 PHP 会话 ID，然后不知何故，用户很不幸被 LB 引导到另一个 FE。

我的问题很多，但目前我只有几个：

1. 我可以为每个前端服务器设置不同的 SESSID 名称吗？这会阻止 FE 生成相同的会话 ID 吗？这至少会导致用户退出，而不是以其他用户身份再次登录！
2. 我们使用 lsyncd 和一大堆 inotifywatch 进程同步站点数据，但我们不同步包含会话的 /var/lib/php 目录。我故意没有这样做......我现在在想也许我应该同步它。 lsyncd 将能够在修改会话后大约 10 秒内跨所有 3 个前端复制会话文件。作为临时修复的好主意？

最后，我很清楚客户端应该使用数据库来存储会话。这将完全消除它能够复制会话 ID。但现在，他们不愿意在开发时间线中优先考虑这一点。

非常欢迎提出想法，因为我正在努力寻找一个简单的出路，即使是一种临时措施。我不能让另一个客户以不同的用户身份登录。这是一个巨大的禁忌。

谢谢！！

Answer 1

从你的问题来看，你对这个问题有些困惑——而且不清楚你要解决什么问题。

今天，一位最终用户提醒我们他们已登录（网站上基于 PHP 的登录表单），但被验证为完全不同的用户

这里可能发生了几件事。

当用户关闭浏览器时 Cookies 过期：

并非如此。根据浏览器的配置方式，大多数浏览器会在重启后保留会话 cookie。由于这是由客户端控制的，因此您无能为力。

应在 1440 秒后“清理”前端的 PHP 会话

这里的神奇词是“之后”——垃圾收集是随机触发的。会话文件可以持续更长时间，默认处理程序会在 TTL 过期后愉快地检索和反序列化会话数据。

您控制应用程序代码吗？ （如果没有，你的帖子在这里是题外话）。如果是这样，那么您的代码中可能存在会话固定和劫持漏洞（但这是基于用户提供的描述 - 这通常是不精确且具有误导性的）。

也有可能内容被不恰当地缓存在堆栈中的某处。

您没有说该站点是在 HTTP、HTTPS 还是混合上运行的，以及如果涉及 HTTPS，则 SSL 在哪里终止。这些是了解问题可能出现在哪里的关键。

您接下来的步骤是确保：

1. 您的代码中有注销功能，它会破坏会话数据并更改会话 ID

2. 您在身份验证时更改了会话 ID

3. 基于会话的脚本正在返回适当的缓存信息（包括 Varies: Cookie 标头） 两个系统几乎不可能同时生成相同的会话 ID。

您真的想摆脱使用粘性会话。不难。

您的前端有 2 层，没有增加任何功能或性能价值，而且由于您使用的是粘性会话，因此实际上没有容量或弹性价值！！！卖给你这个的人一直在笑到银行。