Как удалить сессию пользователю ( разлогинить его )?

Question

[Сашка Брамс]

Система авторизации следующая:

таблица токенов:
(user_id, token, other_info..)

при успешном вводе пары логин/пароль, создаю новый токен:
1. Создаю сессию где ( user_id, Name, Last name, User photo, in_loggened - true( для проверки ) ) - для того чтобы не делать каждый раз запрос к бд
2. Пишу в куки сгенерированный token

Проверяю авторизован ли:
$_SESSION['in_loggened'] === true - все хорошо, если нет то:

если есть в куках токен, то запрашиваю всю инфу по токену и пишу в сессии все.

если нет то на страницу авторизации

В чем возникла проблема, как разлогинить другого пользователя?

я администратор, удаляю токен, но сессия остается пользователь может дальше гулять по сайту

Делать запрос к бд при каждой проверке на авторизованность накладно...

Answer 1

[Сергей]

Либо к базе, либо создавай файлы с названием токена и проверяй наличие каждый раз в папке этого токена (при отсутствии файла делай session destroy)

2 вариант еще удаленно удалять сессию таким методом
session_id($old_session_id);
session_start();
session_destroy();

Логика получается такая:
смотрим куки,
если нет -> отправляем на авторизацию
если есть -> проверяем есть ли сессия - если нет -> отправляем на авторизацию
если есть -> проверяем соответствие токена кук и сессии -> если не равно -> отправляем на авторизацию
если равно -> значит пропускаем

Comments

[Сашка Брамс]

session_id, start, destroy - разве не перекроет мою сессию?

Логика у меня похожая, только не сравниваю куки с сессиями, потому что незачем

[Сергей]

Сашка Брамс: session_id даёт знать с какой сессией работать, поэтому сохраняйте ID каждой сессии в базу например и берите её оттуда когда надо что то с ней сделать, например уничтожить.

Answer 2

[Flaker]

Вам, в любом случае, нужно проверять эквивалентность токена в базе и токена в кукисах при каждом обращении к ресурсу. При не совпадении токенов, чистим сессию и отправляем пользователя логиниться.

Comments

[Сашка Брамс]

почему же?

[Flaker]

Сашка Брамс: При различии токенов, пользователь не должен попасть на сайт.

[Сашка Брамс]

Flaker: у меня это проверяется если отсутствует сессия

[Flaker]

Сашка Брамс: Ну, да, можно не проверять.
Но, я так понял, что вы хотите разлогинивать просто изменив токен в базе?
Для этого нужна проверка на эквивалентность токенов.
Если ее не делать, то можно данные о сессии чистить на сервере, но надо знать sessionId.

[Сашка Брамс]

при разлогине, я удаляю токен, проще уже тогда если нет токена, то чистим сессию, но не хотелось бы при каждом обращении к сайту делать запрос к бд, а то и 2

[Сашка Брамс]

Flaker: Я знаю id сессии, как можно удалить?
доступа к временному хранилищу нет, не знаю путь и т.д

[Flaker]

Сашка Брамс: Если вы делаете запрос к базе только в том случае, если сессии нет, то никак не получиться разлогинить пользователя, кроме как почистить данные сессии.

[Сашка Брамс]

Flaker: при разлогине, я удаляю из базы токены

но если пользователь с удаленным токеном гуляет по сайту, значит у него есть сессия, а на сайте проверка по сессии, мне нужно удалить его сессию

[Flaker]

Сашка Брамс: В соседнем ответе подсказали как удалить, зная Id:

session_id($old_session_id);
session_start();
session_destroy();

Answer 3

[Сашка Брамс]

Мое решение - отказаться от использование кук( для авторизации )
и хранить сессии вечно в своей директории.