Dies ist eine bizarre. Wir haben eine Laravel-Website und auf dieser Website haben wir einen Timer pro Benutzer, bei dem sie 15 Minuten lang inaktiv sind, bevor sie gebootet werden.
Wir tun dies über einen Timer, der sich in einer Reaktionskomponente auf der Seite befindet. Er funktioniert so, wie wir es möchten. Jetzt haben wir ein neues Problem: Wenn ein Benutzer angemeldet ist und den Deckel seines Laptops schließt, sollte die Website ihn starten . Banken tun dies, Schulen und Universitäten tun dies, Regierungsstellen tun dies auch. Es ist also möglich, nur nicht sicher wie.
Wir verwenden Web-Sockets, die Laravel-Websockets- Bibliothek und Echo. Was ich gerne sehen würde, ist:
- Sobald Sie Ihren Laptop schließen, starten Sie den Anmeldebildschirm. Wenn Sie also das nächste Mal den Laptop öffnen und sich anmelden und den Browser sehen, befinden Sie sich auf dem Anmeldebildschirm. Es muss nicht so schnell gehen, aber wir brauchen eine Möglichkeit, etwas an das Front-End zu senden, das ihnen im Grunde sagt, dass sie die Seite aktualisieren sollen. Sobald die Sitzung beendet ist, setzen wir die Sitzungslebensdauer auf 15 Minuten.
Einige Leute haben in anderen ähnlichen Fragen vorgeschlagen:
- um einen benutzerdefinierten Web-Socket-Handler zu erstellen
- So vergleichen Sie das Sitzungscookie (im Browser) mit dem Benutzercookie im Backend.
- Damit am vorderen Ende ein Timer läuft (wir hören einfach auf, wenn Sie den Laptopdeckel schließen).
Am beliebtesten scheint es zu sein, Web-Sockets zu verwenden und darauf zu warten, dass der Benutzer die Verbindung trennt und sie dann startet. Das ist in Ordnung, aber wie können Sie dann eine Anfrage an einen Browser senden, der angehalten ist, um sie dann zu starten?
Ich habe requestIdleCallback () gefunden Aber ich glaube auch nicht, dass dies das ist, was ich möchte, wenn ich bereits einen Heartbeat-Timer auf der Site habe. Es funktioniert auch nicht in allen Browsern.
Ich bin hier sehr verloren, wie ich das erreichen kann. Das Beispiel, das ich geben kann, ist:
Melden Sie sich bei Ihrer Bank an, schalten Sie Ihren Computer ein, warten Sie 15 bis 20 Minuten, wecken Sie den Computer, melden Sie sich an und sehen Sie, dass Ihre Bank Sie jetzt auf dem Anmeldebildschirm hat. Das will ich . Aber ich weiß nicht, wie ich das erreichen soll.
Sie können keine Ereignisse vom Back-End an einen "schlafenden" Browser senden, und obwohl dies eine Back-End-Lösung sein müsste, wie aktualisieren Sie das Front-End dann, damit sie beim erneuten Aufwecken des Laptops auf dem Abmeldebildschirm angezeigt werden oder Computer?
quelle
Antworten:
AKTUALISIEREN
In Bezug auf die WebSocket-Anforderung gehe ich davon aus, dass Sie Laravel WebSockets mit verwenden
pusher
. Pusher.io unterstützt kein Timeout . Sie können diesen Support-Artikel lesen. "Planen Sie, der Client-Bibliothek pusher-js von Channels eine Funktion zum Timeout der Verbindung hinzuzufügen?" . Sie können es testen, wenn Sie den Laravel-Debug-Modus (APP_DEBUG=true
innen.env
) aktivieren undlaravel-websockets
vom Terminal (php artisan websockets:serve
) aus starten, damit Sie die Ausgabeprotokollereignisse sehen können. Wenn Sie versuchen, den Laptopdeckel zu schließen oder den Computer in den Ruhezustand ( Ruhezustand ) zu versetzen , werden keine Meldungen zu diesem Ereignis angezeigt. Sie können es nicht mit dempusher
Protokoll tun . Es gibt das Präsenzereignismember_removed
Dies wird jedoch nur ausgelöst, wenn Sie die Registerkarte schließen oder sich abmelden. Natürlich können Sie Ihr benutzerdefiniertes Client-Ereignis für den Anwesenheitskanal auslösen.laravel-websockets
Dazu benötigen Sie jedoch auch ein Timer-Setup auf der Clientseite und müssen einen Dienstanbieter für den Server wie dieses Github-Problem erstellen "Exist a way to Webhooks implementieren? " .Dies liegt daran, dass Client-Timer die Ausführung im Ruhezustand anhalten und somit an der Stelle fortfahren, an der sie zuvor waren. Wenn Sie jedoch eine Datumsvariable verwenden, um die Zeit zu sparen , wird diese Variable nicht aktualisiert, wenn der Computer in den Ruhezustand wechselt Sie wissen also, wann sie aus dem Ruhezustand wechselt, indem Sie diese Datumsvariable überprüfen, die im Vergleich zur aktuellen Uhrzeit von Bedeutung ist Differenz und ist größer als das Timer-Intervall.
Zeitlogik im Client implementieren
Sie können diese Implementierung auch in dieser zugehörigen Frage / Antwort sehen : Können Desktop-Browser erkennen, wann der Computer aus dem Ruhezustand wieder aufgenommen wird?
Sie können im Client einen Timer einrichten, der jede Minute ausgeführt wird. Wir werden uns nicht auf das Timer-Intervall verlassen , sondern dieser Timer überprüft eine Datumsvariable für den äußeren Bereich, wenn die Zeitspanne seit dem letzten Timer größer als
15
Minuten ist. Wenn dies der Fall ist, bedeutet dies, dass der Browser / JS die Ausführung aus irgendeinem Grund angehalten hat , möglicherweise im Ruhezustand des Geräts ( Ruhezustand ), und Sie den Benutzer dann zur Abmelderoute umleiten.Beispiel für einen JS-Clientcode:
Sie können dieses einfache Beispiel überprüfen, aber hier einen. Testen Sie es am besten auf einem Laptop, indem Sie den Deckel schließen und ihn nach1
zweiten Timer mit15
Sekunden-Abmeldung verwenden15 Sekundenwieder öffnenpro Minute Wenn viele Programme ausgeführt werden, benötigt der Computer einige Zeit, um den Speicherstatus zu speichern, um den Ruhezustand abzuschließen und die Ausführung anzuhalten.Beispiel für Web-Worker
Sie können sogar die Web Worker-API verwenden, um einen Web Worker so einzurichten, dass er viel sicherer ist:
Seiten-JS-Code:
Web-Worker-
logoutWorker.js
Code:Sie können auch die Web Worker Beispiel mit der gleichen Check -
15
Sekunden - Timer hier .quelle
clientSession
Variable zu aktualisieren . Sie können meine Antwort erneut überprüfen. Ich habe sogar ein Web Worker-Beispiel hinzugefügt.?v=1
am Ende noch keinen Parameter wie "Gefällt mir" hinzugefügt haben .Lassen Sie uns zunächst erläutern, warum sich Banking-Websites nach 15 Minuten ohne Aktivität abmelden. Dies ist eine PCI-Sicherheitsanforderung.
PCI-DSS-Anforderung 8.1.8 :
Um dies zu erreichen, ist die Lösung tatsächlich viel primitiver, als Sie es sich vorstellen . Es erfordert weder die Verwendung von Websockets noch das Wissen über den Zustand des Client-Computers (Schlaf oder Wach oder auf andere Weise). Sie müssen lediglich die Zeit zwischen der aktuellen Anforderung, die diese Sitzung verwendet, und der letzten Anforderung, die dieselbe Sitzung verwendet, kennen und sicherstellen, dass sie nicht länger als 15 Minuten voneinander entfernt sind. Wenn dies der Fall ist, muss der Benutzer erneut authentifiziert werden. Wenn dies nicht der Fall ist, können Sie mit der Anfrage fortfahren.
Die Meldung "Sitzungszeitüberschreitung"
Sie fragen sich dann wahrscheinlich (wenn es so einfach ist), wie die Meldung "Sitzungszeitüberschreitung" angezeigt wird, wenn Sie den Computer in den Ruhezustand versetzen und wieder aktivieren. Dieser Teil ist täuschend einfach.
Wenn der Computer in den Energiesparmodus versetzt wird, trennt der Browser tatsächlich alle TCP / IP-Verbindungen, wodurch die Ereignisschleife in der Javascript-Engine geschlossen wird. Timer funktionieren also nicht. Wenn der Browser jedoch wieder aufwacht, versucht er, einige Dinge zu aktualisieren, einschließlich der Seite selbst. Wenn die Seite aktualisiert wird, wird die Anforderung an den Server zurückgesendet, der den Server aufruft, damit der Benutzer sich erneut authentifizieren muss.
Dies berücksichtigt jedoch nicht das Modal der Javascript-Nachricht (wenn Sie sich darauf beziehen), das einige Bank-Websites tun. Außerdem führen nicht alle Browser in allen Szenarien eine harte Aktualisierung der Seite durch. Es kann also ein anderer Ansatz gewählt werden. Anstatt einen Timer im Browser zu haben, der nach 15 Minuten abläuft, können Sie die Ladezeit der Seite einfach in Javascript als Zeitstempel speichern und eine Zeitüberschreitung von 1 Sekunde festlegen, die diesen Zeitstempel mit dem aktuellen Zeitstempel des Computers vergleicht. Wenn sie mehr als 15 Minuten voneinander entfernt sind, sollte die Sitzung beendet werden.
Selbst wenn der Computer in den Ruhezustand wechselt und der Timer stoppt, tritt auf der Serverseite möglicherweise eine Zeitüberschreitung auf ( Einzelheiten finden Sie im folgenden Abschnitt) ). Wenn der Computer wieder aufwacht, wird der Timer mit einem Intervall von 1 Sekunde schließlich erneut gestartet und ruft den auf Nachricht (als ob der Benutzer eine Zeitüberschreitung hatte, während der Computer schlief). Die Zeit, die zwischen dem Einschalten des Computers und dem Aufwachen des Computers verloren geht, spielt keine Rolle, da der Zeitstempel im Speicher verbleibt. Die Trennung zwischen Client und Server ist unwichtig, da diese Informationen nicht übermittelt werden müssen, damit die Sitzung auf der Serverseite ordnungsgemäß beendet wird. Der Server kann seine eigene Garbage Collection durchführen und die Sitzung ohne Kommunikation vom Client (dh asynchron ) beenden .
Ob Sie es glauben oder nicht, Banken kümmern sich nicht um Aktivitäten innerhalb des Kunden. Sie kümmern sich nur um die Anforderungsaktivität an den Server. Wenn Sie sich also fragen, wie sie die Sitzung länger als 15 Minuten am Leben erhalten, wenn sich der Benutzer so lange auf derselben Seite befindet, senden sie einfach im Hintergrund eine AJAX-Anfrage, um die Sitzung zu aktualisieren, nachdem sie den Benutzer gefragt haben, ob sie noch aktiv sind will weitermachen
Dies kann in demselben
onload
Ereignisrückruf erfolgen, den wir zuvor wie folgt verwendet haben:Behandlung der Sitzungsbeendigung auf der Serverseite
Um die Sitzungsbeendigung auf der Serverseite zu handhaben, gibt es verschiedene Ansätze. Je nachdem, welche Sie verwenden, benötigen Sie unterschiedliche Taktiken. Eine davon ist die Verwendung des Standard-Sitzungshandlers von PHP und das Festlegen der
session.max_lifetime
Ablauf nach 15 Minuten abläuft (dadurch werden die Sitzungsdaten vollständig auf der Serverseite gelöscht, wodurch das Cookie des Clients ungültig wird).Wenn Sie den Standardmechanismus für Sitzungshandler ausführen lassen, können Probleme auftreten, je nachdem, welcher Handler verwendet wird (Dateien, Memcached, Redis, Benutzerdefiniert usw.).
Bei den Dateien (Standardhandler) erfolgt die Speicherbereinigung auf zwei Arten:
session.max_lifetime
. Das Problem bei diesem Ansatz besteht darin, dass auf Websites mit geringem Datenverkehr eine Sitzung möglicherweise lange Zeit auf dem Server verbleibt, bis (abhängig von dersession.gc_probability
Punktzahl) genügend Anforderungen eingehen , um den GC zum Bereinigen der Sitzungsdateien aufzurufen.Mit Memcached- und Redis-basierten Handlern haben Sie dieses Problem nicht. Sie werden den Speicher automatisch löschen. Sitzungen bleiben möglicherweise noch eine Zeit nach ihrem Leben im physischen Speicher, aber der Dämon kann nicht auf sie zugreifen. Wenn Sie sich aus Sicherheitsgründen Sorgen um dieses Bit machen, können Sie Ihre Sitzungen in Ruhe verschlüsseln oder einen Schlüssel- / Wertspeicher mit einem strengeren GC-Mechanismus zum Löschen des Speichers finden.
Mit einem benutzerdefinierten Sitzungshandler müssen Sie Ihren eigenen GC-Mechanismus erstellen. Durch würden
SessionHandlerInterface
Sie einegc
Methode implementieren , die Ihnen das maximale Lebensdauerintervall der Sitzung übergibt, und Sie sind dafür verantwortlich, anhand dieses Intervalls zu überprüfen, ob die Sitzung ihre Lebensdauer überschritten hat, und von dort aus Ihre Garbage Collection durchzuführen.Sie können auch einen separaten Endpunkt einrichten, der die Sitzungs-TTL überprüft (über eine asynchrone AJAX-Anforderung auf der Clientseite) und eine Antwort zurücksendet, wenn die Sitzung abgelaufen ist (wodurch das Javascript gezwungen wird, den Benutzer erneut zu authentifizieren).
quelle
Idea steht also hinter setInterval und Sockets, setInterval wird in den meisten Browsern unterstützt und Javascript WbsocketApi wird in fast jedem Browser unterstützt.
Kurzübersicht: setInterval () - Dieses Funktionsverhalten folgt, wenn sich Ihr Computer im Ruhezustand / Suspend / Hibernate-Modus befindet, angehalten ist und wenn Sie sich im Wake-Modus befinden, setzt er sich fort.
Der folgende Code führt Folgendes aus: Zuerst (möglicherweise zur gleichen Zeit, aber) startet er php server_socket und lauscht den Verbindungen.
als javascript websocket api sendet aktuelle zeitstempel in unix zeitstempel millisekunden alle 2 sekunden können sie 1 sekunde haben es liegt an dir
nachdem dieser PHP-Server-Socket diese Zeit erhält und prüft, ob er etwas wie die vorherige Zeit zum Vergleichen hat, wenn der Code zum ersten Mal instanziiert wird, hat PHP nichts wie die vorherige Zeit, um ihn mit der Zeit zu vergleichen, die vom Javascript-Websocket gesendet wurde, also PHP tut nichts anderes, als diese Zeit in der Sitzung mit dem Namen 'prev_time' zu speichern und darauf zu warten, dass weitere Zeitdaten vom Javascript-Socket empfangen werden. Hier beginnt also der zweite Zyklus. Wenn der PHP-Server neue Zeitdaten von Javascript WebsocketApi einbindet, prüft er, ob er mit den neu empfangenen Zeitdaten vergleichbar ist. Dies bedeutet, dass der PHP prüft, ob eine Sitzung mit dem Namen 'prev_time' vorhanden ist, wie wir es im zweiten Zyklus feststellen es existiert, ergreift seinen Wert und folgt
$diff = $new_time - $prev_time
, $ diff beträgt 2 Sekunden oder 2000 Millisekunden, da unser setInterval-Zyklus alle 2 Sekunden stattfindet und das von uns gesendete Zeitformat in Millisekunden angegeben wird.Als PHP prüft,
if($diff<3000)
ob der Unterschied weniger als 3000 beträgt, wenn bekannt ist, dass der Benutzer aktiv ist. Sie können diese Sekunden wieder nach Belieben bearbeiten. Ich wähle 3000, da eine mögliche Latenz im Netzwerk fast unmöglich ist, aber Sie wissen, dass ich immer vorsichtig bin, wenn Wenn es um Netzwerke geht, fahren wir fort. Wenn PHP feststellt, dass der Benutzer aktiv ist, setzt PHP nur die Sitzung 'prev_time' zurück, deren Wert$new_time
neu empfangen wurde, und sendet zu Testzwecken eine Nachricht an den Javascript-Socket zurück.aber wenn
$diff
es mehr als 3000 ist, bedeutet dies, dass etwas unser setInterval angehalten hat und es nur möglich ist, und ich denke, Sie wissen bereits, was ich sage. In derelse
Logik von (if($diff<3000)
) können Sie Benutzer abmelden, indem Sie eine bestimmte Sitzung zerstören, und wenn Sie Wenn Sie umleiten möchten, können Sie Text an den Javacript-Socket senden und eine Logik erstellen, diewindow.location = "/login"
je nach Text ausgeführt wird. Hier ist der Code:Zuerst ist es die Datei index.html, nur um Javascript zu laden:
dann ist es Javascript, es ist nicht wirklich schön codiert, aber Sie können herausfinden, LESEN SIE KOMMENTARE SIE SIND WICHTIG:
Jetzt ist hier ein Teil des PHP-Codes, keine Sorge, es gibt auch vollständigen Code, aber dieser Teil ist tatsächlich das, was die oben genannten Jobs erledigt. Sie werden auch andere Funktionen erfüllen, aber sie dienen zum Dekodieren und Arbeiten mit Javascript-Sockets, so dass es tatsächlich richtig ist hier LESEN SIE KOMMENTARE SIE SIND WICHTIG:
Und hier ist der vollständige Code von PHP:
HINWEIS LESEN SIE ES: Die
$new_time
Variable befindet sich$jsTime
im CodeErstellen Sie einen Ordner und kopieren Sie diesen und fügen Sie ihn in Dateien ein. Führen Sie den PHP-Socket mit dem folgenden Befehl aus: php -f server_socket.php Gehen Sie zum lokalen Host und testen Sie die geöffnete Konsole, um die Meldungen "Sie sind aktiv" oder "Sie sind nicht aktiv" anzuzeigen. (wenn du aus dem Schlaf kommst); Ihre Ausführung erfolgt, wenn der Benutzer aus dem Ruhezustand kommt, nicht wenn er sich im Ruhezustand befindet, da in diesem Moment alles in der Auslagerungsdatei (Windows) oder im Swap (Linux) zwischengespeichert wird.
quelle
Ich glaube, ich habe eine Idee, Sie haben viel darüber diskutiert, wie das Bank-Login / Logout-System funktioniert.
Fall 1: Unbegrenzter Zugriff der Webseite auf den Benutzer, wenn der Benutzer aktiv ist
Wenn sich ein Benutzer angemeldet hat, starten Sie einen Timer in Ihrem Backend (stellen Sie das gewünschte Zeitlimit ein), sagen wir 15 Minuten. Was bedeutet es nun? Wenn der Benutzer keine Aktivität auf der Webseite ausführt, werden wir ihn abmelden.
Jetzt können Sie die Benutzeraktivität von vorne an Ihr Backend senden (kann über Socket oder lange Abfrage gesendet werden), wodurch der Timer im Grunde zurückgesetzt wird und der Benutzer die Webseite für jede gewünschte Zeit aktiv nutzen kann.
Wenn der Benutzer seinen PC in den Energiesparmodus versetzt, wird der Timer nicht zurückgesetzt und Sie können die Sitzung nach Ablauf des Timers ungültig machen.
Wenn Sie die Benutzersitzung ungültig machen möchten, sobald sie ihren PC in den Ruhezustand versetzt, können Sie das Limit für die Überprüfungszeit der Sitzung festlegen. Wenn sich ein Benutzer anmeldet, erstellen wir beispielsweise die Sitzung, die nur 10 Sekunden lang gültig ist. Sobald wir die Benutzeraktivitätsanforderung erhalten, können wir den Timer zurücksetzen und einen neuen Sitzungsschlüssel bereitstellen.
Ich hoffe das hilft dir. Lassen Sie mich wissen, wenn Sie Fragen haben.
quelle
Ich habe ein Skript geschrieben, um festzustellen, ob die Maschine in den Ruhezustand versetzt wurde. Die Idee ist, dass alle Skripte angehalten werden, wenn die Maschine in Schlafstimmung ist. Daher, wenn wir die aktuelle Zeit innerhalb eines Zeitintervalls verfolgen. Jedes Mal, wenn timeInterval die aktuelle Zeit minus (-) auslöst, sollte die neue Zeit nahe genug an timeInterval liegen. Wenn wir daher überprüfen möchten, ob der Timer für die X-Zeit inaktiv war, können wir prüfen, ob der Zeitunterschied mehr als X beträgt.
Beispiel Blow prüft, ob der Computer länger als 15 Sekunden in den Ruhezustand versetzt wurde. Bitte beachten Sie, dass Sie beim Einschalten des Computers weitere 15 Sekunden benötigen, um alle Prozessoren zu entwickeln. (Beim Testen auf MEINEM PC).
quelle
Ich habe genau die gleiche Anforderung mit AWS Cognito implementiert, mit Lambda Authorizers & Redis. Ich kann den Code derzeit nicht freigeben, aber ich kann Ihnen alles darüber erzählen, wie er mit diesen Komponenten implementiert wird. Dieselben Konzepte können mit anderen verwendet werden Nicht-AWS-Komponenten.
Wenn Sie ein Inaktivitäts-Logout implementieren, müssen Sie es zunächst serverseitig ausführen. Wenn jemand seinen Computer einfach ausschaltet, werden sie von der Front-End-Website nicht abgemeldet. Ich habe das Konzept der
ACTIVE
Benutzer verwendet. Wenn Benutzer sich erfolgreich authentifizieren, speichere ich mit einer TTL von 15 Minuten in Redis einen Eintrag mit einem Schlüssel vonusername
& einem Wert vonACTIVE
(es kann Benutzername + Sitzungs-ID sein, wenn Sie mehrere Sitzungen für einen bestimmten Benutzer gleichzeitig zulassen möchten).Wenn ein Benutzer in meinen benutzerdefinierten Autorisierern
ACTIVE
ein gültiges Token hat, erteile ich ihm Zugriff auf die geschützte Ressource UND vor allem mache ich ein weiteres Put in Redis mit demusername
&ACTIVE
.Immer wenn sich der Benutzer abmeldet, melde ich mich in meiner Identitätsverwaltungslösung (Cognito) ab und markiere sie als
INACTIVE
. Beachten Sie, dass ein Benutzer, der die API nicht innerhalb von 15 Minuten erreicht, keinen Eintrag mehr fürACTIVE
seinen Benutzernamen hat und nicht mehr auf die API zugreifen kann und sich erneut anmelden muss, wofür er umgeleitet wird.Bei diesem Ansatz sind viele Dinge zu beachten. Zum einen werden die Ergebnisse von Authorisierern häufig für einen bestimmten Zeitraum zwischengespeichert. Wenn Sie beispielsweise angeben, dass Sie das Ergebnis 5 Minuten lang zwischenspeichern, wird Ihr Benutzer möglicherweise innerhalb von 10 Minuten als Benutzer abgemeldet könnte den Cache anstelle des Authorizers treffen, wodurch der
ACTIVE
Eintrag nicht aktualisiert wird .Es ist auch wichtig, dass Sie sicherstellen, dass alles, was Sie zum Speichern verwenden, wenn ein bestimmter Benutzer
ACTIVE
verfügbar ist, hoch verfügbar ist und sich im Falle eines Fehlers schnell erholt.Die Vorgehensweise bei der Verwendung eines Cache-Speichers auf diese Weise ähnelt der Nachrüstung der Token-Ungültigmachung für zustandslose Autorisierungsprotokolle wie OAuth2.
Wir verwenden diesen Ansatz seit einigen Monaten. Es scheint für uns gut zu funktionieren. Es kann eine nervige Anforderung sein, damit umzugehen. Ich hatte in der AWS-Welt erwartet, dass es einen gebrauchsfertigen Ansatz geben würde von der Box-Lösung dafür, aber es gab keine zu sprechen.
quelle