
本文介绍如何在 Laravel 中监听并捕获用户会话自然过期(而非主动点击登出)前的时机,通过自定义事件与中间件机制,在 Session 失效瞬间准确记录用户最后登出时间,弥补 Auth::logout() 仅覆盖手动登出的局限。
本文介绍如何在 laravel 中监听并捕获用户会话自然过期(而非主动点击登出)前的时机,通过自定义事件与中间件机制,在 session 失效瞬间准确记录用户最后登出时间,弥补 `auth::logout()` 仅覆盖手动登出的局限。
在 Laravel 应用中,用户会话(Session)默认在配置时间内无活动即自动过期(如 session.lifetime = 120 分钟),但该过程由框架底层静默处理,不会自动触发 LogoutEvent 或调用 LoggedOutListener。这意味着你当前基于 Auth::logout() 的登出逻辑仅适用于用户主动点击“退出登录”的场景,而无法覆盖因闲置导致的被动会话失效——这将造成 UserTrack::last_logout 字段长期为空或不准确,影响用户行为分析与审计合规。
要真正实现在 Session 过期「前一刻」执行登出逻辑(如记录时间、清理缓存、发送通知等),关键在于:不能依赖用户显式操作,而需在每次请求中动态检测会话有效性,并在确认已过期但尚未重定向/报错时主动触发登出事件。
✅ 正确方案:使用全局中间件 + 会话状态预检
Laravel 并未提供 session.expiring 类原生钩子,因此需在请求生命周期早期介入。推荐在 web 中间件组中添加一个自定义中间件(如 CheckSessionExpiryMiddleware),在每次请求开始时检查 Session 是否已过期或即将过期,并主动触发登出事件:
// app/Http/Middleware/CheckSessionExpiryMiddleware.php
<?php
namespace App\Http\Middleware;
use App\Events\LogoutEvent;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\Session;
use Symfony\Component\HttpFoundation\Response;
class CheckSessionExpiryMiddleware
{
public function handle(Request $request, Closure $next): Response
{
// 仅对已认证用户生效
if (Auth::check()) {
$sessionId = Session::getId();
$lastActivity = Session::get('_last_activity', 0);
// 获取 session.lifetime(单位:分钟),转为秒
$lifetime = config('session.lifetime', 120) * 60;
$now = time();
// 若 session 已过期(或已过期不超过 5 秒,允许微小延迟)
if ($lastActivity > 0 && ($now - $lastActivity) > $lifetime + 5) {
// 触发登出事件(注意:此时用户仍可访问 $request->user())
event(new LogoutEvent(Auth::user()));
// 可选:立即销毁会话,避免后续请求误用过期 session
Auth::logout();
Session::invalidate();
Session::regenerateToken();
}
}
return $next($request);
}
}⚠️ 注意事项:
- 不要在 handle() 中直接调用 Auth::logout() 后再 event(...) —— 因为 Auth::logout() 会清空用户实例,导致事件监听器中 $event->user 为 null。务必先 event(),再 logout()。
- LogoutEvent 需接收用户实例作为构造参数,确保监听器能安全访问用户数据:
// app/Events/LogoutEvent.php
<?php
namespace App\Events;
use App\Models\User;
use Illuminate\Foundation\Events\Dispatchable;
class LogoutEvent
{
use Dispatchable;
public User $user;
public function __construct(User $user)
{
$this->user = $user;
}
}// app/Listeners/LoggedOutListener.php(优化版)
<?php
namespace App\Listeners;
use App\Events\LogoutEvent;
use App\Models\UserTrack;
use Carbon\Carbon;
use Illuminate\Support\Facades\Log;
class LoggedOutListener
{
public function handle(LogoutEvent $event)
{
try {
$user = $event->user;
$track = UserTrack::where('user_id', $user->id)
->orderBy('id', 'desc')
->first();
if ($track) {
$track->last_logout = Carbon::now();
$start = Carbon::createFromFormat('Y-m-d H:i:s', $track->last_login);
$track->timestamp = $start->diffInSeconds($track->last_logout);
$track->save();
}
} catch (\Exception $e) {
Log::warning('Failed to record logout time', [
'user_id' => $event->user->id ?? 'unknown',
'error' => $e->getMessage()
]);
}
}
}? 注册与启用
- 将中间件注册到 app/Http/Kernel.php 的 web 中间件组中(确保在 StartSession::class 之后、路由中间件之前):
// app/Http/Kernel.php
protected $middlewareGroups = [
'web' => [
// ... 其他中间件
\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class, // ← 必须在它之后
\App\Http\Middleware\CheckSessionExpiryMiddleware::class, // ← 新增
// ...
],
];- 在 EventServiceProvider 中注册监听器:
// app/Providers/EventServiceProvider.php
protected $listen = [
\App\Events\LogoutEvent::class => [
\App\Listeners\LoggedOutListener::class,
],
];✅ 方案优势总结
- 全覆盖:同时支持主动登出(/logout 路由)与被动会话过期两种场景;
- 高可靠性:基于 time() 与 _last_activity 时间戳比对,不依赖客户端时间或 JS 心跳;
- 低侵入性:无需修改 Laravel 认证核心逻辑,符合框架设计规范;
- 可扩展性强:LogoutEvent 可被多个监听器消费(如同步 Redis 缓存、推送消息、更新统计仪表盘等)。
通过该方案,你的 UserTrack.last_logout 将真正反映用户最后一次有效会话的结束时刻,为用户行为建模、安全审计与系统运维提供坚实的数据基础。










