本文介绍如何在 laravel 中监听并捕获用户会话自然过期(而非主动点击登出)前的时机,通过自定义事件与中间件机制,在 session 失效瞬间准确记录用户最后登出时间,弥补 Auth::logout() 仅覆盖手动登出的局限。
本文介绍如何在 laravel 中监听并捕获用户会话自然过期(而非主动点击登出)前的时机,通过自定义事件与中间件机制,在 session 失效瞬间准确记录用户最后登出时间,弥补 `auth::logout()` 仅覆盖手动登出的局限。
在 Laravel 应用中,用户会话(Session)默认在配置时间内无活动即自动过期(如 session.lifetime = 120 分钟),但该过程由框架底层静默处理,不会自动触发 LogoutEvent 或调用 LoggedOutListener。这意味着你当前基于 Auth::logout() 的登出逻辑仅适用于用户主动点击“退出登录”的场景,而无法覆盖因闲置导致的被动会话失效——这将造成 UserTrack::last_logout 字段长期为空或不准确,影响用户行为分析与审计合规。
要真正实现在 Session 过期「前一刻」执行登出逻辑(如记录时间、清理缓存、发送通知等),关键在于:不能依赖用户显式操作,而需在每次请求中动态检测会话有效性,并在确认已过期但尚未重定向/报错时主动触发登出事件。
✅ 正确方案:使用全局中间件 + 会话状态预检
Laravel 并未提供 session.expiring 类原生钩子,因此需在请求生命周期早期介入。推荐在 web 中间件组中添加一个自定义中间件(如 CheckSessionExpiryMiddleware),在每次请求开始时检查 Session 是否已过期或即将过期,并主动触发登出事件:
// app/http/Middleware/CheckSessionExpiryMiddleware.php <?php namespace AppHttpMiddleware; use AppEventsLogoutEvent; use Closure; use IlluminateHttpRequest; use IlluminateSupportFacadesAuth; use IlluminateSupportFacadesSession; use SymfonyComponentHttpFoundationResponse; class CheckSessionExpiryMiddleware { public function handle(Request $request, Closure $next): Response { // 仅对已认证用户生效 if (Auth::check()) { $sessionId = Session::getId(); $lastActivity = Session::get('_last_activity', 0); // 获取 session.lifetime(单位:分钟),转为秒 $lifetime = config('session.lifetime', 120) * 60; $now = time(); // 若 session 已过期(或已过期不超过 5 秒,允许微小延迟) if ($lastActivity > 0 && ($now - $lastActivity) > $lifetime + 5) { // 触发登出事件(注意:此时用户仍可访问 $request->user()) event(new LogoutEvent(Auth::user())); // 可选:立即销毁会话,避免后续请求误用过期 session Auth::logout(); Session::invalidate(); Session::regenerateToken(); } } return $next($request); } }⚠️ 注意事项:
- 不要在 handle() 中直接调用 Auth::logout() 后再 event(…) —— 因为 Auth::logout() 会清空用户实例,导致事件监听器中 $event->user 为 NULL。务必先 event(),再 logout()。
- LogoutEvent 需接收用户实例作为构造参数,确保监听器能安全访问用户数据:
// app/Events/LogoutEvent.php <?php namespace AppEvents; use AppModelsUser; use IlluminateFoundationEventsDispatchable; class LogoutEvent { use Dispatchable; public User $user; public function __construct(User $user) { $this->user = $user; } }// app/Listeners/LoggedOutListener.php(优化版) <?php namespace AppListeners; use AppEventsLogoutEvent; use AppModelsUserTrack; use CarbonCarbon; use IlluminateSupportFacadesLog; class LoggedOutListener { public function handle(LogoutEvent $event) { try { $user = $event->user; $track = UserTrack::where('user_id', $user->id) ->orderBy('id', 'desc') ->first(); if ($track) { $track->last_logout = Carbon::now(); $start = Carbon::createFromFormat('Y-m-d H:i:s', $track->last_login); $track->timestamp = $start->diffInSeconds($track->last_logout); $track->save(); } } catch (Exception $e) { Log::warning('Failed to record logout time', [ 'user_id' => $event->user->id ?? 'unknown', 'error' => $e->getMessage() ]); } } }? 注册与启用
- 将中间件注册到 app/Http/Kernel.php 的 web 中间件组中(确保在 StartSession::class 之后、路由中间件之前):
// app/Http/Kernel.php protected $middlewareGroups = [ 'web' => [ // ... 其他中间件 AppHttpMiddlewareEncryptCookies::class, IlluminateCookieMiddlewareAddQueuedCookiesToResponse::class, IlluminateSessionMiddlewareStartSession::class, // ← 必须在它之后 AppHttpMiddlewareCheckSessionExpiryMiddleware::class, // ← 新增 // ... ], ];- 在 EventServiceProvider 中注册监听器:
// app/Providers/EventServiceProvider.php protected $listen = [ AppEventsLogoutEvent::class => [ AppListenersLoggedOutListener::class, ], ];✅ 方案优势总结
- 全覆盖:同时支持主动登出(/logout 路由)与被动会话过期两种场景;
- 高可靠性:基于 time() 与 _last_activity 时间戳比对,不依赖客户端时间或 js 心跳;
- 低侵入性:无需修改 Laravel 认证核心逻辑,符合框架设计规范;
- 可扩展性强:LogoutEvent 可被多个监听器消费(如同步 redis 缓存、推送消息、更新统计仪表盘等)。
通过该方案,你的 UserTrack.last_logout 将真正反映用户最后一次有效会话的结束时刻,为用户行为建模、安全审计与系统运维提供坚实的数据基础。