如果你想要严格的保证，会话超时是一个必须在代码中实现的概念；这是您可以绝对确定没有任何会话在 X 分钟不活动后将继续存在 的唯一方法。

如果稍微放宽这个要求是可以接受的，并且您可以设置一个 下限 而不是对持续时间的严格限制，那么您可以轻松地做到这一点，而无需编写自定义逻辑。

轻松环境中的便利：如何以及为什么

如果 您的会话是使用 cookie 实现的（它们可能是），并且 如果
客户端不是恶意的，您可以通过调整某些参数来设置会话持续时间的上限。如果您将 PHP 的默认会话处理与
cookiesession.gc_maxlifetime一起使用，那么设置
和session_set_cookie_params应该对您有用，如下所示：

// server should keep session data for AT LEAST 1 hour
ini_set('session.gc_maxlifetime', 3600);

// each client should remember their session id for EXACTLY 1 hour
session_set_cookie_params(3600);

session_start(); // ready to go!

这通过配置服务器以保持会话数据至少一小时不活动并指示您的客户端他们应该在相同的时间跨度后“忘记”他们的会话 ID 来工作。
这两个步骤都需要达到预期的结果。

• 如果您不告诉客户在一小时后忘记他们的会话 ID（或者如果客户是恶意的并选择忽略您的指示），他们将继续使用相同的会话 ID，其有效持续时间将是不确定的。这是因为在服务器端过期的会话不会立即进行垃圾收集，而只会在会话 GC 启动时进行。

GC 是一个潜在的昂贵过程，因此通常概率相当小甚至为零（获得大量点击的网站可能会完全放弃概率 GC，并安排它每 X
分钟在后台发生一次）。在这两种情况下（假设非合作客户端），有效会话生命周期的下限将是session.gc_maxlifetime，但上限将是不可预测的。

• 如果您没有设置session.gc_maxlifetime相同的时间跨度，那么服务器可能会更早地丢弃空闲会话数据；在这种情况下，仍然记得其会话 ID 的客户端将显示它，但服务器将找不到与该会话关联的数据，实际上表现得好像会话刚刚开始一样。

关键环境中的确定性

您可以通过使用自定义逻辑对会话不活动设置 上限，从而使事情完全可控； 加上上面的下限，这导致了严格的设置。

通过将上限与其余会话数据一起保存来做到这一点：

session_start(); // ready to go!

$now = time();
if (isset($_SESSION['discard_after']) && $now > $_SESSION['discard_after']) {
    // this session has worn out its welcome; kill it and start a brand new one
    session_unset();
    session_destroy();
    session_start();
}

// either new or old, it should live at most for another hour
$_SESSION['discard_after'] = $now + 3600;

会话 id 持久性

到目前为止，我们根本不关心每个会话 id 的确切值，只关心数据只要我们需要就应该存在的要求。请注意，在（不太可能）会话 ID
对您很重要的情况下，必须小心session_regenerate_id在需要时重新生成它们。