必须改用 Redis 等集中式存储替代文件存储,配置 session.save_handler=redis 和 session.save_path,关闭 Sticky Session,正确设置 cookie 域、安全属性及跨域凭证。
Session 默认不共享,因为 PHP 默认用文件存 Session
PHP 的 session_start() 默认把会话数据写在本地磁盘(session.save_path 指向的目录),每台服务器各管各的文件。用户第一次访问 A 服务器,Session ID 和数据存在 A 的硬盘上;下次负载均衡跳到 B 服务器,B 根本找不到那个 Session ID 对应的文件——直接变成新会话,登录态丢失。
所以不是“怎么共享”,而是“必须换掉默认存储方式”。常见错误是只改了 session.cookie_domain 或加了 sticky session(IP 绑定),结果一重启服务、一扩容机器,照样掉登录。
- 别依赖
session_set_save_handler()自己手写文件同步逻辑——网络延迟 + 并发写入容易丢数据 - 别用 NFS 共享
session.save_path目录——文件锁在分布式环境下不可靠,PHP 的fileshandler 不是为 NFS 设计的 - 真正可行的路径只有两个:用 Redis 或 Memcached 做集中式存储,或者用数据库(但性能差,仅限低频场景)
用 Redis 存 Session 是最稳的选择
Redis 原生支持原子操作、过期自动清理、主从高可用,PHP 内置扩展能直接对接。关键不是装 Redis,而是让 PHP 知道“别写文件,去 Redis 里读写”。
需要改两处配置(推荐在 php.ini 中设,而不是运行时用 ini_set()):
立即学习 “PHP 免费学习笔记(深入)”;
session.save_handler = redis-
session.save_path = "tcp://127.0.0.1:6379?auth=yourpass&database=2"(注意带协议头和参数) - 如果 Redis 有密码,必须写
auth参数;没密码就删掉&auth=……这段 - 别漏掉
database,否则可能和业务缓存混在一起,导致被FLUSHDB清掉
验证是否生效:启动会话后查 Redis:redis-cli -a yourpass -n 2 keys "PHPSESSID*",能看到带前缀的 key 就对了。
负载均衡必须关掉 Sticky Session(除非万不得已)
有人觉得“我让 Nginx 把同一个用户固定发给同一台 PHP 服务器不就行了?”——短期能用,但埋下三个坑:
- 某台服务器宕机,所有绑定它的用户立刻登出,且无法自动漂移到其他节点
- 水平扩容时,新机器长期没流量,Session 数据无法自动迁移
- 健康检查一旦出问题(比如临时超时),负载均衡可能误判节点下线,触发批量会话丢失
真正解法是:确保 Session 可跨机访问(如上用 Redis),然后把 Nginx 的 ip_hash 或 ALB 的“会话保持”功能关掉。流量可以自由打到任意后端,登录态始终有效。
注意 Session ID 传递和 Cookie 安全设置
即使后端 Session 共享了,前端 Cookie 如果没传对,还是拿不到会话。常见疏漏:
- 多子域共享时,
session.cookie_domain必须设成.example.com(开头带点),不能是www.example.com - HTTPS 站点必须开
session.cookie_secure = 1,否则浏览器不发 Cookie;同时要确认反向代理(如 Nginx)转发了https头,否则 PHP 可能误判为 HTTP 而拒绝写 Secure Cookie - 如果用了前端 SPA + API 分离架构,注意 AJAX 请求默认不带 Cookie,得显式加
credentials: 'include',且后端响应要有Access-Control-Allow-Origin具体域名(不能是*)
最容易被忽略的是:Redis 连接超时或认证失败时,PHP 默认行为是静默降级回文件存储——看着正常,其实 Session 又变成本地独享了。上线前务必用 session_status() === PHP_SESSION_ACTIVE 加日志,再抓包确认 Cookie 是否真在跨请求传递。
