Какие преимущества хранения сессий в бд?

Question

[banny_name]

Пару человек сказало, что хранение сессий в бд, это наилучший вариант( если нужно длительное хранение сессий ), в чем преимущество?
мне ответили в гибкости, но где работа с сессиями становится более гибкой, мне непонятно...

Подскажите пожалуйста, в чем + и -

Comments

[theMacros]

By default session data are stored in files. The implementation is locking a file from opening a session to the point it's closed either by session_write_close() or at the end of request. While session file is locked all other requests which are trying to use the same session are blocked i.e. waiting for the initial request to release session file. This is fine for development and probably small projects. But when it comes to handling massive concurrent requests, it is better to use more sophisticated storage, such as database.

Answer 1

[DrImp]

Преимущество простое, если сайт высоконагруженный, то у него может быть несколько бакендов на разных серверах, на которые балансируется нагрузка. И если хранить сессии в файлах, то юзера будет разлогинивать при переключении сервера.

Еще удобно связывать сессию с конкретным юзером в БД. Можно вводить ограничения типа "нельзя быть залогиненым с двух браузеров", удобно для онлайн игр.

Или дать функционал "Разлогинить меня на всех устройствах".

И еще наверняка куча вариантов.

Answer 2

[Павел Волынцев]

Сессию в базе хранят на тот случай, если там есть что-то ценное.
Например, есть конструктор сайтов или социальная сеть. И пользователь может кое-что сделать ещё до регистрации, например, создать пост или профиль свой заполнить. Можно все его временные данные сериализовать и поместить в базу, чаще всего JSON в NoSQL.
В обычную сессию тоже можно сохранить, но обычно пространство для хранения сессий регулярно чистят и тогда данные потеряются.
Сохранять в базу стоит только тогда, когда пользователь сделал что-то. Для каждого пользователя выделять место в базе бессмысленно.
Когда пользователь авторизуется, временные данные переносят на постоянное место хранения.
Регулярно область сессий неавторизованных пользователей чистят, но гуманно, то есть не очень активно, с большим интервалом хранения.

Я обычно с другим сталкивался - данные из базы выгружают в сессию, чтобы меньше нагружать базу.
Вот схема: https://toster.ru/answer?answer_id=645494

Comments

[banny_name]

Ну для системы авторизации, лучше хранить сессию в бд или на файлах?

Думаю на файлах, потому что информации не много и лишние обращения к бд не к чему и т.д

[Павел Волынцев]

banny_name: Файлы - не хорошо. Большая нагрузка на файловую систему. Используйте KeyValue хранилище, например memcached или Redis.

Answer 3

[index0h]

в чем преимущество?

Нет преимуществ. Ваша пара человек не понимает о чем говорит.

Для начала потому что сессий у одного пользователя может быть множество, и это вполне нормально. Залогиньтесь в двух браузерах одним пользователем например.

Сессия как правило - это необходимые горячие данные пользователя, что нужно сохранить между запросами. БД - одно из самых медленных хранилищ этих данных.

В файлах кстати тоже не стоит хранить. При большой нагрузке io будет подтормаживать.

Длительный период сессии обычно не хранятся, вместо этого на клиент задается токен, по которому человек через много времени может автоматически авторизироваться.

Comments

[banny_name]

Длительный период сессии обычно не хранятся, вместо этого на клиент задается токен, по которому человек через много времени может автоматически авторизироваться.

Не совсем понял, можно по подробнее или где об этом почитать можно?

У меня система авторизации на сессиях( не на кукисах, потому что нужно иметь возможность разлогинить пользователя без его участия и т.п )

И для того, чтобы каждый раз не приходилось вводить логин/пароль, продлил время жизни сессии и храню её в директории сайта

[index0h]

> не на кукисах, потому что нужно иметь возможность разлогинить пользователя без его участия и т.п
Ключ к сессии - это кука.

Смысл автологина полностью аналогичный. Есть постоянная кука, передаваемая на фронт, просто в случае если сессия не создана - проверяется связь вот этот куки с пользовательским профилем, если такая имеется - нужно авторизовать пользователя.

Answer 4

[eskrano]

по моему ничем. Зайдет к тебе 15к юзеров в день и у тебя +15к записей в бд... Лично мое мнение.

Comments

[banny_name]

а так, +15к файлов сессии

[eskrano]

banny_name: быстрей будет чем взять с бд по сути