PHP实现cookie跨域session共享的方法分析

本文实例讲述了php实现cookie跨域ssion共享的方法。分享给大家供大家参考，具体如下：

做过web开发的小伙伴们都了解cookie和ssion，cookie是存储在客户端的，ssion是存储在服务器的。

本篇主要通过一些实践中的案例和大家分享一下踩到坑，重点说明了cookie跨域问题和ssion服务器共享问题，以php语言为使用语言进行说明。

先聊聊cookie

设置cookie无效

tcookie("sso", "e589hr6vno8k1cnqz4psp/lwgbhrke5vckawqwl1tde8d4q5e7tw", 900);

这个问题很多刚入门php的小伙们都会碰到。这个代码的本意应当是想设置cookie sso的有效期为15分钟，可是执行这个代码后发现没有效果。为什么呢？因为第三个参数expire表示的是过期的时间节点，而不是有效时间，所以如果希望设置cookie为15分钟，正确的做法应当是获取当前的时间戳加上15分钟。

tcookie这个函数还有path、domain参数都比较常用，强烈建议刚学php的小伙们多翻阅手册。php手册地址：

获取cookie值获取不到

先看这样一段代码

tcookie("sso", "e589hr6vno8k1cnqz4psp/lwgbhrke5vckawqwl1tde8d4q5e7tw", time() + 900)关于英雄的句子;var_dump($_cookie["sso"]);

要解决这个问题，要先了解一下tcookie后发生了什么？因为cookie是保存在客户端的，php是服务端语言，实际上tcookie之后只是在返回的http头增加一个cookie的头信息，告诉客户端需要设置一个酱紫的cookie，如下图：

php中tcookie返回的http头

而$_cookie这个数组里面保存客户端传递上来的cookie。自然第一次刷新的时候因为客户端没有相应的cookie值，所以$_cookie是没有sso的信息的。第一次请求过后，因为服务器设置了cook经典 语录ie sso，所以第一次请求过来客户端就有了cookie sso的信息，所以第二次请求的时候就会带上sso的信息，服务端就能通过$_cookie取到值了。

cookie跨域问题

这个可以说是cookie中一个比较热门的问题，面试的时候一般很爱聊这方面的问题。

跨域的业务需求大概是酱紫：用户在a.com进行了登录，希望在b.com也同步进行了登录。如果是同一个主域比较简单，可以通过tcookie中的domain参数进行设定：例如有x.a.com和xx.a.com，可以通过设置domain为a.com，从而a.com的所有二级域名都可以共享这一个cookie。基于安全方面的原因，在a.com下面设置domain为b.com是无效的。

那么是否真的没有办法可以实现这个了呢？这个还是有一些奇巧淫技的，这里介绍一种使用内框iframe的方法。

具体思路：在a.com下设置cookie后，嵌入一个ifr何从ame框链接b.com的页面，b.com设置好页面cookie后，再嵌入一个a.com的页面，然后通过parent.parent就可以调用最外层的a.com的js方法，从而进行跳转或者一些其它的操作。具体代码示例如下：

假设a.com有页面：login.php和callback.php，b.com有页面synclogin.php

a.com的login.php代码：

<?php$sso = "e589hr6vno8k1cnqz4psp/lwgbhrke5vckawqwl1tde8d4q5e7tw";tcookie("sso", $sso);?>login success...<scrip咖啡店经营t type="text/javascript">  function jumpto() {    location.href = "http://a.com";  }</script><iframe src="http://b.com/synclogin.php?sso=<?php echo $sso; ?>"></iframe>

b.com的synclogin.php页面

<?phptcookie("sso", $_get["sso"]);?><iframe src="http://a.com/callback.php"></iframe>

a.com的callback.php页面

<script type="text/javascript">  parent.parent.jumpto();</script>

代码看起来也不难，值得一提的是这里嵌入了两个iframe，因为如果只用一个iframe的话，即在b.com的synclogin.php内直接调用父窗体的jumpto方法，在有些浏览器下会提示没有权限的错误：
error: permission denied to access property

这里只是演示了cookie跨域同步的思路，具体细节还有很多可以改进的地方，比如iframe链接的页面可以考虑改成静态的页面，这样效率会比php动态页面快很多，还有像参数校验、多个主域（比如还有c.om）同时登录等等，这里就不再累述。

cookie的总结到这里就结束，如果你感觉有一些收获，可以在页面底部扫码给我打赏哟，感谢o(∩_∩)o~

ssion

$_ssion没有值

这个ssion使用和cookie有一点不太一样，ssion使用前必须先调用ssion_start方法。否则会收到一个undefined的错误：
notice: undefined variable: _ssion

ssion存储在哪

ssion存储在服务端，但是ssion究竟是存储在哪呢？php.ini中关于ssion有一个save_path的选项可以设置存放的目录，如果这个选项没有设置值，那么就存储在系统默认的tmp目录下。默认的tmp目录可以通过sys_get_temp_dir方法取到。

例如在mac下面，php的ssion一般会存储在/var/tmp目录下。

ssion_start();echo ssion_id();//本例输出ipkl446enhae25uq92c28u4lo3$_ssion['name'] = "tony”;$_ssion['urs'] = array("tony", "andy");

通过ssion_id方法可以取到当前的ssion编号，通过这个编号可查看一下该ssion文件。

$ sudo more /var/tmp/ss_ipkl446enhae25uq92c28u4lo3name|s:4:"tony";urs|a:2:{i:0;s:4:"tony";i:1;s:4:"andy";}

可以清楚的看到ssion存储数据的结构，其中值是用序列化的方式进行转化存储的。

ssion也用了cookie

ssion不是存储在服务端吗，怎么又和cookie扯上关系了？其实想想也简单，因为客户端再请求的时候，服务端怎么样才能知道该客户端的ssion存储在哪个文件呢？其实也是通过cookie phpssid来进行标识。

php中ssion的cookie标识

php在进行ssion操作的时候会生成一个ssi财务年终总结on id，而后把这个值以cookie的形式保存在客户端，就是图示中的phpssid了。客户端在下次请求的时候就会带上这个phpssid，服务端就能知道当前客户端对应的ssion文件了

ssion超时设置

cookie超时设置比较简单，一个参数就搞定了。ssion这边有点小麻烦，既不能单独设置cookie phpssid的超时时间，也不能单独设置服务端文件的超时时间。具体的可以参考鸟哥这篇文章：如何设置一个严格30分钟过期的ssion，真的非常严谨，赞一下。

ssion服务器共享

这个问题和cookie的跨域类似，面试的时候也很爱聊这个问题。

以前在做服务器集群的时候会碰到这样的一样问题，就是用户一会访问是处于正常登录状态，一会访问又没有登录了。这个问题偶尔才会出现。跟踪代码下去才发现ssion没有取到相应的值，想想也是醉了：原来服务器ssion没有设置共享，ssion存在在本地文件目录，当用户访问另外一台服务器的时候自然就取不到ssion了。

解决方法也不难，通过共享的存储在进行服务器之间的共享。这里使用redis的进行ssion存储。可以通过php.ini配置文件进行调整，也可以在代码中通过ini_t进行调整

ini_t("ssion.save_handler", "redis");ini_t("ssion.save_path", "tcp://127.0.0.1:6379”);

如果需要使用redis进行存储，需要ssion中的registered save handlers支持redis

php中ssion是否支持redis

当这样设置之后，ssion就会保存在redis中了，不同的集群服务器之间就可以通过该redis服务器进行共享了。

好吧，暂时就写到这里了，以后会发现新的坑会继续补充上来。