vendor/symfony/http-kernel/EventListener/AbstractSessionListener.php line 89

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\HttpKernel\EventListener;
  14. use Psr\Container\ContainerInterface;
  15. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  16. use Symfony\Component\HttpFoundation\Cookie;
  17. use Symfony\Component\HttpFoundation\Session\Session;
  18. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  19. use Symfony\Component\HttpFoundation\Session\SessionUtils;
  20. use Symfony\Component\HttpKernel\Event\RequestEvent;
  21. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  22. use Symfony\Component\HttpKernel\Exception\UnexpectedSessionUsageException;
  23. use Symfony\Component\HttpKernel\KernelEvents;
  24. use Symfony\Contracts\Service\ResetInterface;
  26. /**
  27.  * Sets the session onto the request on the "kernel.request" event and saves
  28.  * it on the "kernel.response" event.
  29.  *
  30.  * In addition, if the session has been started it overrides the Cache-Control
  31.  * header in such a way that all caching is disabled in that case.
  32.  * If you have a scenario where caching responses with session information in
  33.  * them makes sense, you can disable this behaviour by setting the header
  34.  * AbstractSessionListener::NO_AUTO_CACHE_CONTROL_HEADER on the response.
  35.  *
  36.  * @author Johannes M. Schmitt <schmittjoh@gmail.com>
  37.  * @author Tobias Schultze <http://tobion.de>
  38.  *
  39.  * @internal
  40.  */
  41. abstract class AbstractSessionListener implements EventSubscriberInterfaceResetInterface
  42. {
  43.     public const NO_AUTO_CACHE_CONTROL_HEADER 'Symfony-Session-NoAutoCacheControl';
  45.     protected $container;
  46.     private bool $debug;
  48.     /**
  49.      * @var array<string, mixed>
  50.      */
  51.     private $sessionOptions;
  53.     public function __construct(ContainerInterface $container nullbool $debug false, array $sessionOptions = [])
  54.     {
  55.         $this->container $container;
  56.         $this->debug $debug;
  57.         $this->sessionOptions $sessionOptions;
  58.     }
  60.     public function onKernelRequest(RequestEvent $event)
  61.     {
  62.         if (!$event->isMainRequest()) {
  63.             return;
  64.         }
  66.         $request $event->getRequest();
  67.         if (!$request->hasSession()) {
  68.             // This variable prevents calling `$this->getSession()` twice in case the Request (and the below factory) is cloned
  69.             $sess null;
  70.             $request->setSessionFactory(function () use (&$sess$request) {
  71.                 if (!$sess) {
  72.                     $sess $this->getSession();
  73.                 }
  75.                 /*
  76.                  * For supporting sessions in php runtime with runners like roadrunner or swoole the session
  77.                  * cookie need read from the cookie bag and set on the session storage.
  78.                  */
  79.                 if ($sess && !$sess->isStarted()) {
  80.                     $sessionId $request->cookies->get($sess->getName(), '');
  81.                     $sess->setId($sessionId);
  82.                 }
  84.                 return $sess;
  85.             });
  86.         }
  87.     }
  89.     public function onKernelResponse(ResponseEvent $event)
  90.     {
  91.         if (!$event->isMainRequest()) {
  92.             return;
  93.         }
  95.         $response $event->getResponse();
  96.         $autoCacheControl = !$response->headers->has(self::NO_AUTO_CACHE_CONTROL_HEADER);
  97.         // Always remove the internal header if present
  98.         $response->headers->remove(self::NO_AUTO_CACHE_CONTROL_HEADER);
  99.         if (!$event->getRequest()->hasSession(true)) {
  100.             return;
  101.         }
  102.         $session $event->getRequest()->getSession();
  104.         if ($session->isStarted()) {
  105.             /*
  106.              * Saves the session, in case it is still open, before sending the response/headers.
  107.              *
  108.              * This ensures several things in case the developer did not save the session explicitly:
  109.              *
  110.              *  * If a session save handler without locking is used, it ensures the data is available
  111.              *    on the next request, e.g. after a redirect. PHPs auto-save at script end via
  112.              *    session_register_shutdown is executed after fastcgi_finish_request. So in this case
  113.              *    the data could be missing the next request because it might not be saved the moment
  114.              *    the new request is processed.
  115.              *  * A locking save handler (e.g. the native 'files') circumvents concurrency problems like
  116.              *    the one above. But by saving the session before long-running things in the terminate event,
  117.              *    we ensure the session is not blocked longer than needed.
  118.              *  * When regenerating the session ID no locking is involved in PHPs session design. See
  119.              *    https://bugs.php.net/61470 for a discussion. So in this case, the session must
  120.              *    be saved anyway before sending the headers with the new session ID. Otherwise session
  121.              *    data could get lost again for concurrent requests with the new ID. One result could be
  122.              *    that you get logged out after just logging in.
  123.              *
  124.              * This listener should be executed as one of the last listeners, so that previous listeners
  125.              * can still operate on the open session. This prevents the overhead of restarting it.
  126.              * Listeners after closing the session can still work with the session as usual because
  127.              * Symfonys session implementation starts the session on demand. So writing to it after
  128.              * it is saved will just restart it.
  129.              */
  130.             $session->save();
  132.             /*
  133.              * For supporting sessions in php runtime with runners like roadrunner or swoole the session
  134.              * cookie need to be written on the response object and should not be written by PHP itself.
  135.              */
  136.             $sessionName $session->getName();
  137.             $sessionId $session->getId();
  138.             $sessionCookiePath $this->sessionOptions['cookie_path'] ?? '/';
  139.             $sessionCookieDomain $this->sessionOptions['cookie_domain'] ?? null;
  140.             $sessionCookieSecure $this->sessionOptions['cookie_secure'] ?? false;
  141.             $sessionCookieHttpOnly $this->sessionOptions['cookie_httponly'] ?? true;
  142.             $sessionCookieSameSite $this->sessionOptions['cookie_samesite'] ?? Cookie::SAMESITE_LAX;
  144.             SessionUtils::popSessionCookie($sessionName$sessionId);
  146.             $request $event->getRequest();
  147.             $requestSessionCookieId $request->cookies->get($sessionName);
  149.             if ($requestSessionCookieId && ($session instanceof Session $session->isEmpty() : empty($session->all()))) {
  150.                 $response->headers->clearCookie(
  151.                     $sessionName,
  152.                     $sessionCookiePath,
  153.                     $sessionCookieDomain,
  154.                     $sessionCookieSecure,
  155.                     $sessionCookieHttpOnly,
  156.                     $sessionCookieSameSite
  157.                 );
  158.             } elseif ($sessionId !== $requestSessionCookieId) {
  159.                 $expire 0;
  160.                 $lifetime $this->sessionOptions['cookie_lifetime'] ?? null;
  161.                 if ($lifetime) {
  162.                     $expire time() + $lifetime;
  163.                 }
  165.                 $response->headers->setCookie(
  166.                     Cookie::create(
  167.                         $sessionName,
  168.                         $sessionId,
  169.                         $expire,
  170.                         $sessionCookiePath,
  171.                         $sessionCookieDomain,
  172.                         $sessionCookieSecure,
  173.                         $sessionCookieHttpOnly,
  174.                         false,
  175.                         $sessionCookieSameSite
  176.                     )
  177.                 );
  178.             }
  179.         }
  181.         if ($session instanceof Session === $session->getUsageIndex() : !$session->isStarted()) {
  182.             return;
  183.         }
  185.         if ($autoCacheControl) {
  186.             $response
  187.                 ->setExpires(new \DateTime())
  188.                 ->setPrivate()
  189.                 ->setMaxAge(0)
  190.                 ->headers->addCacheControlDirective('must-revalidate');
  191.         }
  193.         if (!$event->getRequest()->attributes->get('_stateless'false)) {
  194.             return;
  195.         }
  197.         if ($this->debug) {
  198.             throw new UnexpectedSessionUsageException('Session was used while the request was declared stateless.');
  199.         }
  201.         if ($this->container->has('logger')) {
  202.             $this->container->get('logger')->warning('Session was used while the request was declared stateless.');
  203.         }
  204.     }
  206.     public function onSessionUsage(): void
  207.     {
  208.         if (!$this->debug) {
  209.             return;
  210.         }
  212.         if ($this->container && $this->container->has('session_collector')) {
  213.             $this->container->get('session_collector')();
  214.         }
  216.         if (!$requestStack $this->container && $this->container->has('request_stack') ? $this->container->get('request_stack') : null) {
  217.             return;
  218.         }
  220.         $stateless false;
  221.         $clonedRequestStack = clone $requestStack;
  222.         while (null !== ($request $clonedRequestStack->pop()) && !$stateless) {
  223.             $stateless $request->attributes->get('_stateless');
  224.         }
  226.         if (!$stateless) {
  227.             return;
  228.         }
  230.         if (!$session $requestStack->getCurrentRequest()->getSession()) {
  231.             return;
  232.         }
  234.         if ($session->isStarted()) {
  235.             $session->save();
  236.         }
  238.         throw new UnexpectedSessionUsageException('Session was used while the request was declared stateless.');
  239.     }
  241.     public static function getSubscribedEvents(): array
  242.     {
  243.         return [
  244.             KernelEvents::REQUEST => ['onKernelRequest'128],
  245.             // low priority to come after regular response listeners, but higher than StreamedResponseListener
  246.             KernelEvents::RESPONSE => ['onKernelResponse', -1000],
  247.         ];
  248.     }
  250.     public function reset(): void
  251.     {
  252.         if (\PHP_SESSION_ACTIVE === session_status()) {
  253.             session_abort();
  254.         }
  256.         session_unset();
  257.         $_SESSION = [];
  259.         if (!headers_sent()) { // session id can only be reset when no headers were so we check for headers_sent first
  260.             session_id('');
  261.         }
  262.     }
  264.     /**
  265.      * Gets the session object.
  266.      */
  267.     abstract protected function getSession(): ?SessionInterface;
  268. }