php - laravel5.2 任意中间件每次请求都会生成新session

Question

[###############################################################]
【20170111更新】
在exit函数前加入如下代码即可完成session保存（session落地）的存储过程，此操作不会被Auth::attempt 干扰，可自行封装。此方式由@mylxsw 协助解决。

use Illuminate\Contracts\Encryption\Encrypter;
use Symfony\Component\HttpFoundation\Cookie;

 /** @var SessionManager|SessionInterface $session */
        $session = session();

        var_dump($session->get('aaa'));//test 可删除

        $session->migrate();
        $session->set('aaa', time());//test 可删除

        $session->save();

        $resp = response()->make();
        /** @var Encrypter $encrypter */
        $encrypter = app(Encrypter::class);
        $cookie = new Cookie(
            $session->getName(),
            $encrypter->encrypt($session->getId()),
            0,
            config('session.path'),
            config('session.domain'),
            config('session.secure'),
            false
        );

        $resp->withCookie($cookie);
        $resp->send();
        exit();

[###############################################################]
【20170110更新】
终结帖，问题最终感谢@mylxsw 调试协助处理。
调试过程中由于我自己封装了一个debug函数，里面存在exit代码，会停止当前脚本的执行，导致laravel不会保存session数据到文件中。

function debug_show($datas){
    echo '<pre>';
    session()->save();
    print_r($datas);exit;
}

之前看到文章说是laravel必须要进行保存session操作，因为保存之前的读写操作都只是在内存中操作并不会写到文件中。
机智的补上session()->save()到函数中，结果还是不行。
问题继续回到session 如何正常在exit前 保存到文件中。
非常感谢@member ，@mylxsw ，@大舒 的解答。

[###############################################################]

1.laravel5.2 任意中间件每次请求都会生成新session

2.routes.php

Route::group(['middleware' => ['web']], function () {
    //
    Route::get('/login', function () {
        return view('welcome');
    });
}

3.服务端返回的新session id

感谢各位的回答，不过我现在还是登录不了，目前状况是
【page1】

Auth::attempt($userinfo); //验证成功 1
Auth::user(); //获取用户信息
session()->put(['name'=>'test-time:'.time()]);//用于测试

【page2】

dd(Auth::user());//输出用户信息
echo session()->get('name');//输出测试session值

出现情况：

• page1中，如果写了attempt方法，那page2将获取不到任何session数据，而且会多生成一个session文件。同属于Auth对象中的user方法却不受影响，追查之下发现这个函数最终会调用session类中的migrate方法，方法体中会重新生成一个新的sessionid（generateSessionId）赋值到当前对象中的id中，最后可能页面执行结束的时候session对象以新的id返回给客户端，导致第二次访问时获取不到之前的数据。

• 如果不写attempt方法，将不会收到影响，第二页面依然可以获取到之前写session数据，session文件不会增加。

• 如果屏蔽掉这个代码 $this->id = $this->generateSessionId();可以实现登录和保留session数据

追查函数过程：

Auth::attempt =>  this->login => $this->updateSession  =>  $this->session->migrate  =>  $this->generateSessionId

这个laravel原本的逻辑我也没有怎么改动，如果本身就这么写的，那我可能是其他哪里的问题影响了。想知道大概是哪里的问题所影响，毕竟按照上面第三个情况来看，直接屏蔽掉会不太好。

Answer 1

确实会变，主要是安全考虑，这是因为使用了web中间件，这个中间件包含了EncryptCookies这个中间件，该中间件负责将Cookie进行加密，加密方式与生成密码的方式是一样的，同样的内容，每次加密生成的密文是不同的。参考一下AppHttpKernel中的配置

protected $middlewareGroups = [
    'web' => [
        EncryptCookies::class,
        AddQueuedCookiesToResponse::class,
        StartSession::class,
        ShareErrorsFromSession::class,
        VerifyCsrfToken::class,
    ],

    'api' => [
        'throttle:60,1',
    ],
];

去掉EncryptCookies::class，刷新页面两次后就可以看到session不会在变化了

Answer 2

因为这是加密的字符串，每次都变化是很正常的

同一内容，同时执行两次，都会生成不同的密文

并且laravel的确会每次都set-cookie: session=

如果你总是登录不了，考虑是否是因为session path、session domain设置错误

Answer 3

怀疑你是把session全部存在cookie里了，这样每次访问，session（cookie）有变化很正常。

可以手动打出session id比对，看一下是不是。