CakePHP3、ユーザー権限ごとにSessionのtimeout値を変えたい

前提・実現したいこと

CakePHP3データベースセッションにならい、
セッションデータを保存するためにデータベースを使用し、問題なく使用できています。
app.phpには下記のように、10分でタイムアウトするよう設定しております。

php
1    'Session' => [
2        'defaults' => 'database',
3        'timeout' => 10,
4    ],

加えて、「一般ユーザー」と「管理者ユーザー」で、SessionTimeoutの時間設定を変えたいです。
一般　：100分
管理者：10分

app.phpの設定だけでは実現できないのでしょうか。

補足情報（FW/ツールのバージョンなど）

CakePHP3.8
PHP7.2.29
MySQL5.7.22

行動規範の内容に同意します

回答1件

app.phpの設定だけでは実現できません。

~~CakePHPのセッションには、 Config.time というリクエストの度に更新される現在時刻の値があります。~~

これを利用し、app.phpではタイムアウトの設定は長いほうに合わせておき、アプリケーションの早い段階（Middleware等）でログイン状態に合わせ、セッションに記録されている Config.time の値をチェックしてタイムアウト判定し、タイムアウト時にはセッションを破棄して再作成すれば良いでしょう。

データベースにセッションを保存しているということで、SessionsTableでのexpires書き換えをするのであれば

php
1// SessionsTable.php
2class SessionsTable extends Table
3{
4    public function beforeSave(Event $event, EntityInterface $entity)
5    {
6        $this->dispatchEvent('Sessions.beforeSave', compact('entity'));
7    }
8}
9
10// SomeMiddleware.php
11class SomeMiddleware implements MiddlewareInterface
12{
13    public function __invoke(ServerRequestInterface $request, ResponseInterface $response, callable $next = null)
14    {
15         EventManager::instance()->on('Sessions.beforeSave', static function (Event $event, $entity) use ($request) {
16            // セッションのAuth.roleで権限を判別できる想定
17            if ($request->getSession()->read('Auth.role') === 'admin') {
18                $entity->expires = time() + 600;
19            }
20        });
21    
22        return $next($request, $response)
23    }
24}
25

このような形でしょうか

投稿2020/04/16 07:49

編集2020/04/17 10:57

nojimage

総合スコア959

kiyuasw

2020/04/17 08:38 編集

回答ありがとうございます。 app.phpの設定ではなく、SessionTable:expiresを管理者の場合に「Config.time」に10分を足した値を保存するようにしたいと思います。 Model/Table/SessionTable.phpに、beforeSaveを設置し、 $_SESSIONのユーザーの役割情報を見て、$_SESSIONの「Config.time」に10分足して保存、としたいところですが、・$_SESSIONの使用は非推奨（$_SESSION使えば、目的は達成できそう）・Modelからセッションオブジェクトへのアクセスができないなど、悩ましいところです。

nojimage

2020/04/17 10:17

すみません、`Config.time` は利用するために読み込もうとした時点で現在時刻に書き換えられるので使えないですね。自前のタイムアウト確認用の時刻をセッションに格納する必要がありますね。

nojimage

2020/04/17 10:23 編集

beforeSaveでの書き換えであれば、Modelではなくリクエストオブジェクトが取れるところ（ミドルウェア等）で、イベントにフックして書き換えるのはどうでしょうか。SessionsTable::beforeSave内では独自イベントの発火を行って、その独自イベントに対してフックさせるのがよいと思います。

kiyuasw

2020/04/20 05:34

回答ありがとうございます。「app.phpの設定ではなく、SessionTable:expiresを管理者の場合に「Config.time」に10分を足した値を保存するように」することができました。しかしながら、DB（SessionTable:expires）の値を現在時刻が超えたとしても、app.phpのtimeout値を現在時刻が超えた時と同じように、タイムアウトしてくれませんでした。・タイムアウトのチェックに、DB（SessionTable:expires）の値を使用していないのではないか・app.phpで'defaults' => 'database',を設定した際に実装すべきことができていないのではないか　現状では、DBをスケルトン通りに作成、app.phpの設定を質問に記載した通りに作成、のみ。この観点で調査しております。

行動規範の内容に同意します