Как разлогинить всех пользователей на сайте?

Question

[xucixe]

Используются обычные php-сессии. Нужно сделать кнопку по которой будут разлогинены все пользователи.
Пробовал:
shell_exec('rm -rf '.session_save_path() );
Но не помогло. Пользователи остались залогинены.

upd:
Похоже дело в куках.
Как их удалить у всех пользователей?

Answer 1

[Артем]

Для этого нужно было авторизацию строить на основе OAuth.
Куки у пользователей удалить будет трудновато... можно повесить скрипт удаления кук на все страницы сайта и редирект на главную после удаления, но это как-то криво.

Comments

[xucixe]

Думаю изменить имя PHPSESSID и тогда php будет ожидать другую куку. Но пока не нахожу как это сделать программно.

Answer 2

[xmoonlight]

1. Удалите куки при авто-входе через них через JS на клиенте при запросе любой страницы и перенаправьте на страницу входа.
2. А вообще, лучше всегда формировать публичный статичный токен сервера для входа с куками, чтобы при его проверке и несовпадении на сервере - сразу можно было разлогинить пользователя так, как указано в п.1.

В этом случае, достаточно всего лишь просто перегенерировать этот токен на сервере на любой другой и всё.

Comments

[xucixe]

В js http-only куки не удалишь

[xmoonlight]

Тогда через сервер Вы можете их сделать невалидными или удалить.
Условьтесь, что все новые куки должны иметь сервер-токен (пропишите в авторизации проверку). Если такого токена нет - пользователь невалиден и переадресуем на страницу входа.

[xmoonlight]

xucixe: написал выше))) потом только решил дополнить, но не успел...)))

[xucixe]

Там авторизация реализованна на уровне yii2 фреймворка. Править фреймворк - не очень хорошая идея.

[xmoonlight]

xucixe: что мешает это сделать через функции фреймворка?

Answer 3

[Дмитрий Гаджиев]

а остановить сессию на главной странице слабо уже стало?

Comments

[xucixe]

это действие единоразово нужно)))

[Дмитрий Гаджиев]

session_destroy(); как я понимаю так надо. а это действие привяжи на кнопку, форму и т.д.

[xucixe]

Дмитрий Гаджиев: Ты бы описание этой функции для начала почитал))


А вообще я же написал, что сессии удалены. Нужно удалить куки.

[Дмитрий Гаджиев]

xucixe: да у меня то как раз на сессиях все и работает. а у вас на куках, если разницы не понимаете, писать не стоит. поменяйте значения в куках, через некоторое время все разлогинятся.

[xucixe]

Дмитрий Гаджиев: Собственно в этом и вопрос. Как единоразово поменять значения в куках для всех пользователей?

[Дмитрий Гаджиев]

вы на сервере задаете параметры, которые пишутся в куках. так делается по правилам. поправьте эти параметры на что то другое. куки будут новые, сервер их принимать не будет, все разлогинены и аллилуя)) я не знаю что у вас и как пишется, общий ход такой.

Answer 4

[rPman]

На сервере у вас уже есть (должны) быть инструменты, для определения авторизации пользователя (не доверять же одним кукам), например сохраненный идентификатор сессии у пользователя в базе, вот эти данные и очищайте, одним запросом к базе на сервере.