logo标签列表

跨子域的 PHP $_SESSION

javascriptphp.htaccesssession
3

好的,我有一个 example.com 网站,使用 JavaScript 进行 XHR 请求到api.example.com. 以前我的 api.example.comexample.com/api ,但我希望将其移动到子域名上,并且登录工作正常,直到我将其移动到api.example.com

我正在测试一个登录脚本,并尝试保持会话存活,但每次运行时都会清除 $_SESSION

db_connect.php

include_once("config.php");
ob_start();
session_start();
$db = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);

auth.php

<?php
require($_SERVER['DOCUMENT_ROOT'].'/db_connect.php');

if (!$db) {
    die('Could not connect: ' . mysql_error());
}
$method = $_SERVER['REQUEST_METHOD'];

if ( isset($_GET['id']) ){
    $id = $_GET['id'];
} else {
    $id = 'all';
}

switch (strtoupper($method)) {
    case "GET":
        if ($_SESSION['auth']) {
            $check = true;
        } else {
            $check = false;
        }
        $arr = json_encode(array('result'=>$check));
        echo $arr;
    break;
    default:
        echo "Streets closed pizza boy!";
}

signin.php

<?php
require($_SERVER['DOCUMENT_ROOT'].'/db_connect.php');

if (!$db) {
    die('Could not connect: ' . mysql_error());
}
$method = $_SERVER['REQUEST_METHOD'];

if ( isset($_GET['id']) ){
    $id = $_GET['id'];
} else {
    $id = 'all';
}

switch (strtoupper($method)) {

    case "POST":
        $postdata = json_decode(file_get_contents("php://input"));
        $src = (array)$postdata->user;
        $password = hash( 'sha512', $src['password']);

        $q = $db->query("SELECT *
            FROM users u
            WHERE u.email = '".$src['email']."'
            AND u.password = '".$password."'");

            if($q->num_rows > 0){
                $check = true;
                $_SESSION['auth'] = 1;

                $maps = array();
                while($row = mysqli_fetch_array($q)) {
                    $product = array(
                        'auth' => 1,
                        'id' => $row['id'],
                        'name' => $row['name'],
                        'email' => $row['email'],
                        'access' => $row['access']
                    );
                    array_push($maps, $product);
                }

                //$_SESSION['company_id'] = $product['company_id'];
            }else{
                $check = false;
            }

            $_SESSION['id'] = $product['id'];   
            $_SESSION['email'] = $product['email']; 

            setcookie("username", $productx§['email'], time()+(84600*30));

            $arr = json_encode(array('result'=>$check, 'user'=>$maps));
            echo $arr;
    break;

    default:
        echo "Your favorite color is neither red, blue, or green!";
}

我已经尝试将 db_connect.php 设置为

<?php
include_once("config.php");
ob_start();
session_set_cookie_params(0, '/', '.example.com');
session_start();
$db = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);

但是这样做没有任何效果,会导致会话变量丢失。

这些 PHP 文件也通过 AJAX 调用。

是否所有页面,无论是 AngularJS DOM,都应该连接到数据库?

在这里解决:https://dev59.com/r3NA5IYBdhLWcg3wKam3 - undefined
@Kepi 这个什么都没做 - undefined
4个回答
2

如果要使用跨子域会话,在所有子域项目中必须使用以下代码:

session_name('SessionName');
session_set_cookie_params(
    1800,
    ini_get('session.cookie_path'),
    '.example.com'
);
session_start();

重要提示: 仅在一个服务器上的所有子域名下有效(因为会话存储在一个临时目录中)。如果您想在不同的服务器上使用类似的会话,请使用SAN存储或将会话存储在memcached等中。

ini_set('session.save_handler', 'memcache');
ini_set('session.save_path', 'tcp://122.122.122.122:11211');

session_name('SessionName');
session_set_cookie_params(
    1800,
    ini_get('session.cookie_path'),
    '.exmaple.com'
);
session_start();
两个域名上的每个页面都需要在其中包含db_connect.php吗? - undefined
在你的情况下,是的,因为你在db_connect.php中初始化了会话。 - undefined
我需要在两个域上都有db_connect.php,这样不会产生两个会话吗? - undefined
这不是两个会话,而是两个项目使用同一个会话。 - undefined
刚试了一下,当我运行AJAX时,它仍然在api.domain.com上设置了一个新的cookie。 - undefined
在api.domain.com中,你是否像我示例中那样初始化了会话? - undefined
0
尝试设置会话名称:
$session_name = session_name("my_session");

然后,将会话cookie设置为跨所有子域。
session_set_cookie_params(0, "/", ".example.com");

然后执行session_start() - 现在应该可以正常工作了。
已经尝试过这个方法,但仍然没有成功,会话仍然无法保持。 - undefined
0

.htaccessapi.example.com

# CORS Headers (add this)
<ifModule mod_headers.c>
    Header add Access-Control-Allow-Origin "http://example.com"
      ## Post the domain that will be doing the XHR requests
    Header add Access-Control-Allow-Credentials: "true"
    Header add Access-Control-Allow-Headers "origin, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"
</ifModule>
<Limit GET POST PUT DELETE>
    Allow from all
</Limit>

example.com

将以下内容发布在您的主要网站的页眉中
ini_set('session.cookie_domain', '.example.com' );
session_start();

XHR请求

现在我们需要从example.comapi.example.com发送凭据,我正在使用AngularJS进行此操作

$http({
    method: 'GET',
    url: '//api.example.com/auth/',
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true
}).success....

还要更改您的配置以允许使用凭据发送

.config(function ($routeProvider, $httpProvider) {
    $httpProvider.defaults.withCredentials = true;
    //rest of route code
0
这对我有用:
ini_set('session.cookie_domain', substr($_SERVER['SERVER_NAME'],strpos($_SERVER['SERVER_NAME'],"."),100));
session_start();

一开始它不起作用,我不得不删除所有的cookies,最后它按预期工作了。
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接