PHP 세션 잠금 및 concurrency_php 팁

이 기사에서는 PHP 세션 사용 중 잠금 및 동시성 문제를 공유합니다. 관련 현상으로는 요청 차단, 세션 데이터 손실, 세션 데이터를 읽을 수 없음 등이 있습니다.

로그인이 안 돼요
어느 날 버그를 해결하기 위해 백엔드 시스템 중 하나에 로그인하려고 했습니다. 계정과 비밀번호 인증 코드를 정확하게 입력했는데도 로그인할 수 없었습니다. 많은 실험 끝에 두 가지 주요 시스템이 있다는 것을 알게 되었습니다. 오류 메시지:

• csrf 확인 실패
• 인증코드가 잘못되었습니다. [본 인증코드를 반각으로 입력했고, 순서도 추가문자 없이 일관되었습니다]

우리 시스템
저희 시스템은 phalcon 2.0.8을 기반으로 개발되었으며, 폼 필드에 CSRF 공격을 방지하기 위한 필드를 추가했습니다. 보안 문자도 활성화되어 있습니다.

<input type="hidden" 
  name="{{ security.getTokenKey() }}"
  value="{{ security.getToken() }}"/>
<img  src="/static/imghwm/default1.png"  data-src="/login/getCaptcha"  class="lazy" id="img-captcha"/ alt="PHP 세션 잠금 및 concurrency_php 팁" > 

먼저 이 두 구성요소를 확인한 결과 둘 다 세션에 데이터를 저장하는 것으로 나타났습니다.

# phalcon/security.zep
# Security::getToken()
let session = <SessionInterface> dependencyInjector->getShared("session"); 
session->set(this->_tokenValueSessionID, token); 
$this->session->set('admin_get_captcha_action', $captcha);

그런 다음 세션 구현을 확인한 결과 데이터가 Redis에 저장되어 있음을 발견했습니다.

보고 또보고
로그인이 안되는 문제는 무엇인가요? 데이터 검증에 문제가 있어서 먼저 데이터부터 살펴보겠습니다. 우리 테스트 환경에서 redis 머신에 로그인하고 redis-cli monitor를 실행한 후 로그인 과정을 거쳐서 다음과 같은 출력을 발견했습니다(의미).

• 세션 ID 가져오기
  
• 세션 ID 가져오기
  
• SETEX 세션 ID 3600 csrf=xxxx
  
• SETEX sessionId 3600 captcha=abcd
  

다음을 볼 수 있습니다.

1. 여기에는 두 가지 요청이 있습니다. 하나는 양식을 로드하는 것이고, 다른 하나는 인증 코드를 생성하는 것입니다.
2. 이 두 요청은 양식이 로드되고 렌더링된 후 확인 코드를 요청해야 합니다. 즉, 세션 순서가 get->set->get->여야 합니다. 동시 요청된 것 같나요?
3. 후자의 SETEX에는 csrf 콘텐츠가 없으므로 이전 데이터를 덮어씁니다
세상이 다 안 좋은데 문제가 뭔지 조금 이해가 되네요. 문제는 무엇입니까? PHP의 세션 데이터 액세스부터 시작하여 이야기가 길어졌습니다.

PHP 세션 데이터 액세스
세션 데이터는 문자열로 인코딩되어 저장소[file, db, redis, memcache 등]에 저장됩니다. 세션을 사용할 때 저장소에서 데이터를 언제 가져오나요? 데이터는 언제 메모리에 기록됩니까?

이 질문에 대한 대답은 일부 친구들의 생각과 다를 수 있습니다. 요청에서 PHP는 session_start 동안 메모리를 한 번만 읽은 다음 요청이 끝날 때 한 번만 메모리에 씁니다. 또는 session_write_close 동안 데이터가 메모리로 다시 플러시되고 세션이 닫힙니다.

그럼 질문은 이렇습니다.

1. 세션에 동시에 두 개의 읽기 및 쓰기 세션 요청이 있는 경우 1-쓰기 1-얻기 2-쓰기 2를 얻을 수 있다는 보장이 없으며 CAS 버전 관리 메커니즘이 없습니다. 요청은 서로 상호 작용합니다. 상대방의 쓰기를 읽을 수 없으면 마지막 쓰기가 이전 요청에 의해 작성된 세션을 덮어씁니다.
2. 로그인 페이지의 양식 및 인증 코드와 같이 요청이 연속적인 경우 이전 요청에서 이미 내용을 출력했지만 세션이 아직 작성되지 않고 후속 요청이 시작되었을 수 있습니다.
잠김 및 잠금 해제
이러한 리소스의 동시성 해결은 일반적으로 잠금 또는 버전 관리를 통해 처리됩니다. 하지만 버전 관리를 수행하는 좋은 방법은 없습니다. 자물쇠에 대해 이야기합시다.

사실 자물쇠는 그다지 적합하지도 않고 단점도 있습니다.

PHP 세션은 기본적으로 파일에 저장됩니다. 세션이 열리면 파일에 배타적 잠금이 추가됩니다. 이러한 방식으로 다른 요청은 잠금을 얻을 수 없으며 이전 잠금이 해제될 때까지만 기다릴 수 있습니다.

이렇게 하면 읽기-쓰기, 읽기-쓰기 순서가 보장됩니다.

mysql과 같은 다른 스토리지에서는 업데이트 선택을 사용하여 행 잠금을 수행할 수 있습니다. Redis는 자동 증가 키를 통해 구현될 수 있으며 잠금을 획득하기 위해 1을 반환하는 등의 작업을 수행할 수 있습니다.

이 구현은 데이터 흐름에 이상적입니다. 그러나 Ajax가 페이지에서 널리 사용되는 현재 상황에서는 모든 요청이 처리를 위해 대기하게 되므로 페이지를 표시하는 데 걸리는 시간이 크게 늘어나고 오류가 발생할 수도 있습니다. 요청 시간 초과와 같은 가용성이 없습니다.

해결책이 없습니다
세션을 너무 많이 사용하지 않는 것이 좋습니다. 한 번 읽고 한 번 쓰고 나면 문제가 발생할 수 있습니다.
템플릿 렌더링 또는 출력 요청 전에 session_write_close
를 호출하세요.

# 立刻回写session,避免session覆盖
$eventManager = $this->view->getEventsManager();
if (!$eventManager) { 
  $eventManager = new Manager();
  $this->view->setEventsManager($eventManager);
}
$eventManager->attach("view:afterRender",function(){
  session_write_close();
});
return $this->view; 

if($login) { 
  # 立刻回写session,避免session读取不到
  $eventManager = $this->dispatcher->getEventsManager();
  if (!$eventManager) {
    $eventManager = new Manager();
    $this->dispatcher->setEventsManager($eventManager);
  }
  $eventManager->attach('dispatch:afterDispatchLoop',function(){
    session_write_close();
  });
  return $this->response->setHeader('Location', '/');
}

위 내용은 PHP 세션의 잠금 및 동시성에 대한 내용이므로 모든 분들의 학습에 도움이 되기를 바랍니다.