Команда разработчиков

Так лучше не делать. Сессию нужно запускать тогда, когда она действительна нужна (например, запрос с действием).

ArbNet,

http://arbnet.ru/shop/main

А тут будете мёрч с логотипами arbnet продавать?))

Пилите свой фреймворк и никого не слушайте. Другим от него профита не будет скорее всего, но вы многое для себя поймете (включая то, что вам тут говорят). Я уже не раз говорил, пока сам не напишешь сотни своих поделок, никаких выводов не сделаешь. Чужие шишки не работают, человек всегда учится только на своих ошибках.

Можно долго делать проектики на фреймворках, напрочь забыв как работают роутеры, почему в хороших роутерах используются деревья радикса (а не хеш таблицы и не бинарные деревья), и т.д.. Может показаться, мол, зачем это делать, все уже написано до нас. Импульсы в мозгу ходят от нейронов к нейронам по протоптанным тропам, не задействуя остальные части мозга, когда применяется сфокусированное мышление. Делая что-то не привычное для мозга, например пойти новой дорогой, освоить новое дело, приготовить еду (если никогда её не готовил), написать свой роутер (желательно эффективный и гибкий) - это все дает мозгу неплохую встряску. Благодаря такому подходу, после рыбалки например, или какого-то активного отдыха, часто приходят очень хорошие идеи или мысли для решения какой-либо проблемы.

К такому жизнь меня не готовила))

---------- Добавлено 14.03.2020 в 23:24 ----------

А почему? Собственно метод старт у меня прост как 5 копеек:

 public static function start()
    {
        session_start();
    }

Мне же нужно как то определять залогенный у меня пользователь или нет.

У тестового бложика есть разные уровни доступа у пользователей и "админка". Авторизация - через сессию. Есть меню, где залогенные пользователи видят доступ к "админке"(как громко сказано) ). Получается мне сессия нужна на каждой странице(иначе как я узнаю, что ко мне пришёл залогенный пользователь и покажу ему меню "админка"?).

Вся логика доступа у меня в методе идентификации

Пытался вставить сюда, но код побило цифрами, видимо идёт подстановка чтобы ничего не подсмотрели у пользователя)

Суть простая, Проверяются иссетом куки, если куки есть(а в куки у меня пишется при "запомнить меня" при авторизации) то идёт проверка в БД на совпадение айпишника\хеша(ну, проверка от подмены)\совпадения хеша из бд и id пользователя(я от щедрот душевных и его к хешу присобачил вперемешку с некоторыми символами). Если всё ок - данные переносятся в сессию -> пользователь залоген. Тут конечно надо ещё доработать и всё вылизать, но как учебный пример сойдёт.

И опять же, с учётом того, что у меня на каждой странице сайта(даже с "фронта") есть меню админка(которое видят только авторизированные пользователи) мне везде нужно стартовать сессию...Нет можно конечно вызывать Auth::start(); и Auth::authentication(); только в некоторых методах...но это действительно того стоит? Придётся носиться с методами, прописывать в каждом методе контроллера админки этот вызов...а потом я допустим комменты прикручу к бложику и мне придётся даже с фронта прикручивать эти методы.

В общем или я чего то не понимаю и не знаю, или вы просто подумали о другой реализации аутентификации.

Это общие слова, которые Вы можете найти на любом сайте о цмс, нечто вроде мема "молодая динамично развивающаяся компания". Без конкретики это не взлетит.

А в пхп есть декораторы?

И здесь джанга рулит)

Ну хотя бы просто потому, что зачем запускать сессию, если пользователь не авторизован (правильнее говорить не аутентифицирован, но в данном случае пусть будет уже так)? Есть session_status для определения есть ли для конкретного пользователя сессия. Если сессии нет, то вероятно он не авторизован. Запуская каждый раз сессию, nginx не сможет отличить авторизованных пользователей от гостей, т.к. вы будете постоянно присваивать куки PHPSESSID, а кешировать ответ с чьей-то кукой нельзя. Убрав и без того не нужную инициализацию сессии для неавторизованных пользователей, можно будет беспроблемно кешировать ваши ответы от PHP.

Можно сделать ленивую инициализацию сессий. А вообще, аутентификацию лучше делать в миддлвари, и если юзер аутентифицирован, то передавать данные о нем в следующий хендлер, чтобы он читал не из глобального стейта данные, а из входящих параметров. Любой глобальный стейт лучше избегать по возможности.

Этот вызов можно заменить на:

public static function start()
{
    if (session_status() === PHP_SESSION_ACTIVE) {
        session_start();
    }
} 

А на странице аутентификации после успешного входа ручками вызвать session_start (а ещё лучше сделать враппер через статический метод на том же классе, который у вас уже есть).

И скорее всего, все будет хорошо.

danforth, об этом я не думал.

Спасибо, изучу вопрос, потестирую)

Как и любое действие. Коннектиться к БД, если это в итоге не потребуется плохо.

foreach ($fn_list as $file) {

    require($config['dir']['functions'] . $file);

}

Это то понятно, если спарсить эксель понадобится, напишем - 100 верст не круг. Только, что то, так и не понял, зачем XML. В итоге все равно объект/массив. Может, в файл, монгу или др. носкуэл положить. 🍿

Иногда сессия нужна и для неавторизованного пользователя

- просмотренные страницы (товары) /"вы смотрели", "возможно, Вас заинтересует" и тд/

- товары в корзине

- избранное (в т.ч. и без авторизации.. можно, конечно, куками обойтись.. но)

- информация о предыдущих входах (и такое бывает)

Т.е. права проверяются ещё до роутера? А как быть с разграничением прав на отдельные контроллеры и/или action-ы? По идее, до Router-а ни тот, ни другой ещё не определены?

соглашусь. Вот для такого в джанге и есть анонимусюзер. А вообще все вопросы разграничения решаются миддлварями и декораторами очень просто

---------- Добавлено 15.03.2020 в 11:10 ----------

Вообще не факт. Можно долбиться в закрытую дверь

, а можно просто почитать для начала как это правильно делать и улучшить, если видишь как. А наш ТС скоро новый пхп начнет писать...

Ну если закрыть глаза на то, что человек выше пишет блог, а не интернет-магазин, то:

для аутентифицированных - в базу, для не авторизованных - в клиентскую куку, подгружать динамически при попадании в область видимости (через Intersection Observer API например)

для аутентифицированных - в базу (чтобы можно было бы набрать корзину дома, а оформить с мобилы в пробке или метро), а для неаутентифицированных - придеться начать сессию. Но это можно сделать после добавления первого товара, а не сразу. При этом саму информацию о корзине (которая обычно выводится в правом верхнем углу) можно так же получать по публичному API.

Это лучше вообще запретить для неавторизованных, люди добавляют в избранное, потом куки чистятся и все теряется. Лучше сразу предложить пользователю завести аккаунт.

Вообще, не стоит создавать инстанс того, в чем нет необходимости, будь то кука, файловый дескриптор, коннект, etc.