vendor/symfony/symfony/src/Symfony/Component/HttpKernel/EventListener/AbstractSessionListener.php line 70

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\HttpKernel\EventListener;
  14. use Psr\Container\ContainerInterface;
  15. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  16. use Symfony\Component\HttpFoundation\Session\Session;
  17. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  18. use Symfony\Component\HttpKernel\Event\FilterResponseEvent;
  19. use Symfony\Component\HttpKernel\Event\FinishRequestEvent;
  20. use Symfony\Component\HttpKernel\Event\GetResponseEvent;
  21. use Symfony\Component\HttpKernel\KernelEvents;
  23. /**
  24.  * Sets the session onto the request on the "kernel.request" event and saves
  25.  * it on the "kernel.response" event.
  26.  *
  27.  * In addition, if the session has been started it overrides the Cache-Control
  28.  * header in such a way that all caching is disabled in that case.
  29.  * If you have a scenario where caching responses with session information in
  30.  * them makes sense, you can disable this behaviour by setting the header
  31.  * AbstractSessionListener::NO_AUTO_CACHE_CONTROL_HEADER on the response.
  32.  *
  33.  * @author Johannes M. Schmitt <schmittjoh@gmail.com>
  34.  * @author Tobias Schultze <http://tobion.de>
  35.  *
  36.  * @internal since Symfony 4.3
  37.  */
  38. abstract class AbstractSessionListener implements EventSubscriberInterface
  39. {
  40.     const NO_AUTO_CACHE_CONTROL_HEADER 'Symfony-Session-NoAutoCacheControl';
  42.     protected $container;
  43.     private $sessionUsageStack = [];
  45.     public function __construct(ContainerInterface $container null)
  46.     {
  47.         $this->container $container;
  48.     }
  50.     public function onKernelRequest(GetResponseEvent $event)
  51.     {
  52.         if (!$event->isMasterRequest()) {
  53.             return;
  54.         }
  56.         $session null;
  57.         $request $event->getRequest();
  58.         if ($request->hasSession()) {
  59.             // no-op
  60.         } elseif (method_exists($request'setSessionFactory')) {
  61.             $request->setSessionFactory(function () { return $this->getSession(); });
  62.         } elseif ($session $this->getSession()) {
  63.             $request->setSession($session);
  64.         }
  66.         $session $session ?? ($this->container && $this->container->has('initialized_session') ? $this->container->get('initialized_session') : null);
  67.         $this->sessionUsageStack[] = $session instanceof Session $session->getUsageIndex() : 0;
  68.     }
  70.     public function onKernelResponse(FilterResponseEvent $event)
  71.     {
  72.         if (!$event->isMasterRequest()) {
  73.             return;
  74.         }
  76.         $response $event->getResponse();
  77.         $autoCacheControl = !$response->headers->has(self::NO_AUTO_CACHE_CONTROL_HEADER);
  78.         // Always remove the internal header if present
  79.         $response->headers->remove(self::NO_AUTO_CACHE_CONTROL_HEADER);
  81.         if (!$session $this->container && $this->container->has('initialized_session') ? $this->container->get('initialized_session') : $event->getRequest()->getSession()) {
  82.             return;
  83.         }
  85.         if ($session instanceof Session $session->getUsageIndex() !== end($this->sessionUsageStack) : $session->isStarted()) {
  86.             if ($autoCacheControl) {
  87.                 $response
  88.                     ->setExpires(new \DateTime())
  89.                     ->setPrivate()
  90.                     ->setMaxAge(0)
  91.                     ->headers->addCacheControlDirective('must-revalidate');
  92.             }
  93.         }
  95.         if ($session->isStarted()) {
  96.             /*
  97.              * Saves the session, in case it is still open, before sending the response/headers.
  98.              *
  99.              * This ensures several things in case the developer did not save the session explicitly:
  100.              *
  101.              *  * If a session save handler without locking is used, it ensures the data is available
  102.              *    on the next request, e.g. after a redirect. PHPs auto-save at script end via
  103.              *    session_register_shutdown is executed after fastcgi_finish_request. So in this case
  104.              *    the data could be missing the next request because it might not be saved the moment
  105.              *    the new request is processed.
  106.              *  * A locking save handler (e.g. the native 'files') circumvents concurrency problems like
  107.              *    the one above. But by saving the session before long-running things in the terminate event,
  108.              *    we ensure the session is not blocked longer than needed.
  109.              *  * When regenerating the session ID no locking is involved in PHPs session design. See
  110.              *    https://bugs.php.net/61470 for a discussion. So in this case, the session must
  111.              *    be saved anyway before sending the headers with the new session ID. Otherwise session
  112.              *    data could get lost again for concurrent requests with the new ID. One result could be
  113.              *    that you get logged out after just logging in.
  114.              *
  115.              * This listener should be executed as one of the last listeners, so that previous listeners
  116.              * can still operate on the open session. This prevents the overhead of restarting it.
  117.              * Listeners after closing the session can still work with the session as usual because
  118.              * Symfonys session implementation starts the session on demand. So writing to it after
  119.              * it is saved will just restart it.
  120.              */
  121.             $session->save();
  122.         }
  123.     }
  125.     /**
  126.      * @internal
  127.      */
  128.     public function onFinishRequest(FinishRequestEvent $event)
  129.     {
  130.         if ($event->isMasterRequest()) {
  131.             array_pop($this->sessionUsageStack);
  132.         }
  133.     }
  135.     public static function getSubscribedEvents()
  136.     {
  137.         return [
  138.             KernelEvents::REQUEST => ['onKernelRequest'128],
  139.             // low priority to come after regular response listeners, but higher than StreamedResponseListener
  140.             KernelEvents::RESPONSE => ['onKernelResponse', -1000],
  141.             KernelEvents::FINISH_REQUEST => ['onFinishRequest'],
  142.         ];
  143.     }
  145.     /**
  146.      * Gets the session object.
  147.      *
  148.      * @return SessionInterface|null A SessionInterface instance or null if no session is available
  149.      */
  150.     abstract protected function getSession();
  151. }