yii2中session跨域名的問題

rollback 發(fā)布于2019-07-01 12:21 / 2226人閱讀

摘要：可是，我們的域名有這三個(gè)域名僅僅是不同的環(huán)境，因此，的跨域名訪問就引出來了。無論是一二級域名，和不同域名下的跨域，無非要達(dá)到兩點(diǎn)客戶端訪問同一個(gè)所有域名對應(yīng)的服務(wù)器訪問的的數(shù)據(jù)的位置必須一致。

關(guān)閉httponly引起的問題

場景1：

測試A：咦，為什么test環(huán)境登錄不了呢？

程序員：清緩存。

測試B：握草，dev也登錄不了。。。誰看看！

程序員：清緩存。

測試們：。。。唉

場景2：

程序員A：我靠，TNND，真的登錄不了，怎么回事？

程序員B：可能還是要請緩存。

程序員A：沒用。

程序員B：我看看吧。

一陣搗鼓后，呀，cookie中怎么會有兩個(gè)sessionID呢？

這件事情的起因是這樣的，前端工程師需要拿取后臺管理員的cookie，用牛叉的控制臺就可以看到:document.cookie,結(jié)果沒有取到，再看看cookie管理器，顯示是httponly為true，即開啟了path=/;httponly，這個(gè)是yii2防止XSS攻擊所設(shè)置的。

但是，前端工程師需要這個(gè)cookie信息，所以配置中開啟了session的cookieParams參數(shù)。

"session" => [
    "class" => "yii
edisSession",
    "redis" => "redis3",
    "name" => "SID",
    "useCookies" => true,
    "cookieParams" => [
        "domain" => ".xxx.com",
        "httpOnly" => false,
    ],
],

這樣就可以獲取到cookie中保存的sessionID了，感覺沒有任何問題。

可是，我們的域名有:admin-test.xxx.com,admin-dev.xxx.com,admin.xxx.com,這三個(gè)域名僅僅是不同的環(huán)境，因此，yii2的跨域名訪問就引出來了。

那么上面問題如何解決呢？很簡單，domain這個(gè)參數(shù)默認(rèn)是當(dāng)前的域名，如果只允許當(dāng)前域名登錄訪問，使用默認(rèn)即可。

"session" => [
    "class" => "yii
edisSession",
    "redis" => "redis3",
    "name" => "SID",
    "useCookies" => true,
    "cookieParams" => [
        "httpOnly" => false,
    ],
],

看到網(wǎng)上大致有很多這樣的做法：

"user" => [
    "class" => "ackendextensionsAdmin",
    "identityClass" => "ackendmodelsAdmin",
    "enableAutoLogin" => false,
    "enableSession" => true,
    "loginUrl" => ["admin/login"],
    "identityCookie" => ["httpOnly" => false, "domain" => ".xxx.com"],
],

也就是把用戶的cookie中的httphttponly關(guān)閉，并且指定具體的域名，最燃這樣做了，但還是不能關(guān)閉客戶端的cookie的httponly，依然獲取不到cookie的值,建議這里的httponly一定為true。

附加：處理session跨域幾種的方案

前面談過session相關(guān)配置，在開發(fā)的時(shí)候，常需要跨域共用session的是登錄模塊，我相信很多開發(fā)的朋友的都遇到過，只需要一個(gè)地方登錄，相關(guān)聯(lián)的網(wǎng)站也是處于登錄狀態(tài)。兩種情況：一種9streets.cn和a.9streets.cn之間，另一種是a.com b.com之間,這幾天總結(jié)了一下處理方法。

無論是一二級域名，和不同域名下的跨域，無非要達(dá)到兩點(diǎn)：

客戶端訪問同一個(gè)sessionId,所有域名對應(yīng)的服務(wù)器訪問的session的數(shù)據(jù)的位置必須一致。

1.訪問共同的sessionId主要是通過把當(dāng)前的sessionId寫進(jìn)cookie里面cookie在不同域名下是不能訪問的，我們需要在訪問在后臺設(shè)置用戶在登錄的時(shí)候，把需要共用的登錄信息的域名，如果是在1,2級域名下，直接把cookie設(shè)置為所屬主域名，例如：

setcookie("session_id",session_id(),time()+3600*24*365*10,"/",".a.com");

也許你會問：如果是在不同的域名呢？采用P3P技術(shù)簡單解決，實(shí)現(xiàn)原理，在訪問網(wǎng)站x.com的時(shí)候，y.com程序觸發(fā)y.com文件的寫入sessionid值，sessionid值便可以獲取，然后把seesion值存入數(shù)據(jù)庫，取相同的sessionid值便可。這就要求y.com里面的程序文件必需能跨域訪問,默認(rèn)情況下，瀏覽器是不能跨域設(shè)置cookie的，加上p3p頭后才行。在對應(yīng)php文件加上:header("P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"");。

2.session數(shù)據(jù)存儲位置一致的實(shí)現(xiàn)方法

session該數(shù)據(jù)默認(rèn)情況下是存放在服務(wù)器的tmp文件下的，是以文件形式存在，而非存儲在服務(wù)器的內(nèi)存中，在這里我們得修改為所有域下都能訪問的方式。網(wǎng)上介紹了數(shù)據(jù)庫存儲，文件形式存儲，內(nèi)存存儲，如果用數(shù)據(jù)庫存儲session數(shù)據(jù)，網(wǎng)站的訪問量很大的話，SESSION 的讀寫會頻繁地對數(shù)據(jù)庫進(jìn)行操作，效率就會明顯降低，可以考慮存在內(nèi)存服務(wù)器來實(shí)現(xiàn)，下面的session.rar里面介紹的是數(shù)據(jù)庫存session的實(shí)例。

yii2中如何實(shí)現(xiàn)呢？

main.php中應(yīng)該這般配置（同一套環(huán)境不會出現(xiàn)前面所說的問題，但是不同環(huán)境還會出現(xiàn)）：

"user" => [
    "class" => "ackendextensionsAdmin",
    "identityClass" => "ackendmodelsAdmin",
    "enableAutoLogin" => false,
    "enableSession" => true,
    "loginUrl" => ["admin/login"],
    "identityCookie" => ["name" => "_identity", "httpOnly" => true, "domain" => ".xxx.com"],
],
"session" => [
    "class" => "yii
edisSession",
    "redis" => "redis3",
    "name" => "SID",
    "useCookies" => true,
    "cookieParams" => [
        "httpOnly" => false,
        "domain" => ".xxx.com", "lifetime" => 0
    ],
],