vendor/symfony/http-kernel/EventListener/AbstractSessionListener.php line 138

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\HttpKernel\EventListener;
  14. use Psr\Container\ContainerInterface;
  15. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  16. use Symfony\Component\HttpFoundation\Session\Session;
  17. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  18. use Symfony\Component\HttpKernel\Event\FinishRequestEvent;
  19. use Symfony\Component\HttpKernel\Event\RequestEvent;
  20. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  21. use Symfony\Component\HttpKernel\Exception\UnexpectedSessionUsageException;
  22. use Symfony\Component\HttpKernel\KernelEvents;
  24. /**
  25.  * Sets the session onto the request on the "kernel.request" event and saves
  26.  * it on the "kernel.response" event.
  27.  *
  28.  * In addition, if the session has been started it overrides the Cache-Control
  29.  * header in such a way that all caching is disabled in that case.
  30.  * If you have a scenario where caching responses with session information in
  31.  * them makes sense, you can disable this behaviour by setting the header
  32.  * AbstractSessionListener::NO_AUTO_CACHE_CONTROL_HEADER on the response.
  33.  *
  34.  * @author Johannes M. Schmitt <schmittjoh@gmail.com>
  35.  * @author Tobias Schultze <http://tobion.de>
  36.  *
  37.  * @internal
  38.  */
  39. abstract class AbstractSessionListener implements EventSubscriberInterface
  40. {
  41.     public const NO_AUTO_CACHE_CONTROL_HEADER 'Symfony-Session-NoAutoCacheControl';
  43.     protected $container;
  44.     private $sessionUsageStack = [];
  45.     private $debug;
  47.     public function __construct(ContainerInterface $container nullbool $debug false)
  48.     {
  49.         $this->container $container;
  50.         $this->debug $debug;
  51.     }
  53.     public function onKernelRequest(RequestEvent $event)
  54.     {
  55.         if (!$event->isMasterRequest()) {
  56.             return;
  57.         }
  59.         $request $event->getRequest();
  60.         if (!$request->hasSession()) {
  61.             $sess null;
  62.             $request->setSessionFactory(function () use (&$sess) { return $sess ?? $sess $this->getSession(); });
  63.         }
  65.         $session $this->container && $this->container->has('initialized_session') ? $this->container->get('initialized_session') : null;
  66.         $this->sessionUsageStack[] = $session instanceof Session $session->getUsageIndex() : 0;
  67.     }
  69.     public function onKernelResponse(ResponseEvent $event)
  70.     {
  71.         if (!$event->isMasterRequest()) {
  72.             return;
  73.         }
  75.         $response $event->getResponse();
  76.         $autoCacheControl = !$response->headers->has(self::NO_AUTO_CACHE_CONTROL_HEADER);
  77.         // Always remove the internal header if present
  78.         $response->headers->remove(self::NO_AUTO_CACHE_CONTROL_HEADER);
  80.         if (!$session $this->container && $this->container->has('initialized_session') ? $this->container->get('initialized_session') : $event->getRequest()->getSession()) {
  81.             return;
  82.         }
  84.         if ($session->isStarted()) {
  85.             /*
  86.              * Saves the session, in case it is still open, before sending the response/headers.
  87.              *
  88.              * This ensures several things in case the developer did not save the session explicitly:
  89.              *
  90.              *  * If a session save handler without locking is used, it ensures the data is available
  91.              *    on the next request, e.g. after a redirect. PHPs auto-save at script end via
  92.              *    session_register_shutdown is executed after fastcgi_finish_request. So in this case
  93.              *    the data could be missing the next request because it might not be saved the moment
  94.              *    the new request is processed.
  95.              *  * A locking save handler (e.g. the native 'files') circumvents concurrency problems like
  96.              *    the one above. But by saving the session before long-running things in the terminate event,
  97.              *    we ensure the session is not blocked longer than needed.
  98.              *  * When regenerating the session ID no locking is involved in PHPs session design. See
  99.              *    https://bugs.php.net/61470 for a discussion. So in this case, the session must
  100.              *    be saved anyway before sending the headers with the new session ID. Otherwise session
  101.              *    data could get lost again for concurrent requests with the new ID. One result could be
  102.              *    that you get logged out after just logging in.
  103.              *
  104.              * This listener should be executed as one of the last listeners, so that previous listeners
  105.              * can still operate on the open session. This prevents the overhead of restarting it.
  106.              * Listeners after closing the session can still work with the session as usual because
  107.              * Symfonys session implementation starts the session on demand. So writing to it after
  108.              * it is saved will just restart it.
  109.              */
  110.             $session->save();
  111.         }
  113.         if ($session instanceof Session $session->getUsageIndex() === end($this->sessionUsageStack) : !$session->isStarted()) {
  114.             return;
  115.         }
  117.         if ($autoCacheControl) {
  118.             $response
  119.                 ->setExpires(new \DateTime())
  120.                 ->setPrivate()
  121.                 ->setMaxAge(0)
  122.                 ->headers->addCacheControlDirective('must-revalidate');
  123.         }
  125.         if (!$event->getRequest()->attributes->get('_stateless'false)) {
  126.             return;
  127.         }
  129.         if ($this->debug) {
  130.             throw new UnexpectedSessionUsageException('Session was used while the request was declared stateless.');
  131.         }
  133.         if ($this->container->has('logger')) {
  134.             $this->container->get('logger')->warning('Session was used while the request was declared stateless.');
  135.         }
  136.     }
  138.     public function onFinishRequest(FinishRequestEvent $event)
  139.     {
  140.         if ($event->isMasterRequest()) {
  141.             array_pop($this->sessionUsageStack);
  142.         }
  143.     }
  145.     public function onSessionUsage(): void
  146.     {
  147.         if (!$this->debug) {
  148.             return;
  149.         }
  151.         if ($this->container && $this->container->has('session_collector')) {
  152.             $this->container->get('session_collector')();
  153.         }
  155.         if (!$requestStack $this->container && $this->container->has('request_stack') ? $this->container->get('request_stack') : null) {
  156.             return;
  157.         }
  159.         $stateless false;
  160.         $clonedRequestStack = clone $requestStack;
  161.         while (null !== ($request $clonedRequestStack->pop()) && !$stateless) {
  162.             $stateless $request->attributes->get('_stateless');
  163.         }
  165.         if (!$stateless) {
  166.             return;
  167.         }
  169.         if (!$session $this->container && $this->container->has('initialized_session') ? $this->container->get('initialized_session') : $requestStack->getCurrentRequest()->getSession()) {
  170.             return;
  171.         }
  173.         if ($session->isStarted()) {
  174.             $session->save();
  175.         }
  177.         throw new UnexpectedSessionUsageException('Session was used while the request was declared stateless.');
  178.     }
  180.     public static function getSubscribedEvents(): array
  181.     {
  182.         return [
  183.             KernelEvents::REQUEST => ['onKernelRequest'128],
  184.             // low priority to come after regular response listeners, but higher than StreamedResponseListener
  185.             KernelEvents::RESPONSE => ['onKernelResponse', -1000],
  186.             KernelEvents::FINISH_REQUEST => ['onFinishRequest'],
  187.         ];
  188.     }
  190.     /**
  191.      * Gets the session object.
  192.      *
  193.      * @return SessionInterface|null A SessionInterface instance or null if no session is available
  194.      */
  195.     abstract protected function getSession();
  196. }