Нормальная ли практика инициализировать сессию при первом заходе на страницу сайта?

Question

[hortuk]

Решили частично мигрировать legacy проект на laravel и я в процессе наткнулся на то что laravel всегда инициализирует сессию для хранения ошибок валидации и тд. Даже для неавторизованого юзера. Сообственно вопрос в том насколько это общепринятая практика для веб-приложений, которые работают на сессиях? В остальных фреймворках схожее обращение с сессиями?

Comments

[AlikDex]

инциализация при заходе на страницу и при валидации ошибок несколько разные вещи.
Ошибки могут быть 1 на миллион валидаций, к примеру.

[hortuk]

Не суть, в обоих случаях есть процесс инициализации и использования сессии, насколько я понимаю. Вопрос про саму инициализацию, которая происходит без каких либо действий требующих её.

Answer 1

[Александр Аксентьев]

Ну если один из самых популярных в мире фреймворков из коробки так делает, то как вы считаете - это общепринято?

В большинстве случаев никаких проблем в этом нет.
Есть редкие исключения когда сессии не нужны, то можно отключить.
Еще более редкие случаи когда сессии лежат на диске и работают для всех посетителей - тогда при (очень) большом количестве посетителей могут быть проблемы с диском точнее тормоза диска.

Comments

[hortuk]

Спасибо за ответ! А как бороться с тем, что у нас в таком случае куча сессий, которые не используются в принципе и просто засоряют сервер на время жизни?
Например, я зашел просто прочитать статью и вышел, те же боты, а сессия застыла на 2 часа...
Так же, возможность злоумышленником засорить веб-сервер, без особого напряга сессионными файлами вооружившись курлом (если таким вообще кто-то занимается)

Есть ли какие-то решения для такого рода проблем, чтобы уберечь себя в будущем от чего-то подобного?

Я вижу такие вот варианты:
1) Оставить все как есть и в случае чего просто масштабировать систему.
2) Прикрутить альтернативное хранилище, типа redis.
3) Переводить проект на stateless api

Что можете посоветовать?

[DevMan]

hortuk: вы платите за кол-во файлов на диске штоле? чего так переживать.

[Александр Аксентьев]

hortuk: да использовать что-то вместо файлов.

проверить удалятор сессий, они как бы достаточно короткие и должны удаляться но из коробки часто это не происходит по каким-то причинам.

[Александр Аксентьев]

hortuk: а пытаться отделить кому нужна сессия от тех кому ненужна достаточно геморно, да и вылезет еще косяков пачка)