Session主要分两部分:
   一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在
    另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session
ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session
ID 存储在内存中,关闭浏览器后该 ID 自动注销,重新请求该页面后,重新注册一个 session ID。如果客户端没有禁用 Cookie,则
Cookie 在启动 Session 会话的时候扮演的是存储 Session ID 和
Session 生存期的角色。

两个不同的域名网站,想用同一个Session,就是牵扯到Session跨域问题!
  默认情况下,各个服务器会各自分别对同一个客户端产生 SESSIONID,如对于同一个用户浏览器,A 服务器产生的 SESSION ID 是
11111111111,而B 服务器生成的则是222222。另外,PHP 的 SESSION数据都是分别保存在本服务器的文件系统中。想要共享
SESSION 数据,那就必须实现两个目标:
     一个是各个服务器对同一个客户端产生的SESSION ID 必须相同,并且可通过同一个 COOKIE
进行传递,也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的COOKIE;另一个是 SESSION
数据的存储方式/位置必须保证各个服务器都能够访问到。这两个目标简单地说就是多服务器(A、B服务器)共享客户端的 SESSION
ID,同时还必须共享服务器端的 SESSION 数据。
    第一个目标的实现其实很简单,只需要对 COOKIE 的域(domain)进行特殊地设置即可(setcookie()函数中的第4个参数),默认情况下,COOKIE 的域是当前服务器的域名/IP 地址,而域不同的话,各个服务器所设置的 COOKIE 是不能相互访问的,

采用这种方式,跨域不行,但同一子域可以,如:aaa.cocoglp.com 和www.cocoglp.com 都属于域 .cocoglp.com是可以的,那么我们就可以设置 COOKIE 的域为 .cocoglp.com,这样 aaa.cocoglp.com、www.cocoglp.com等等都可以访问此COOKIE。这样各个服务器共享同一客户端
SESSION ID 的目的就达到了。

实现如下

-------------------------------------------------------------------------------------------------

这里有三种方式可以实现:

1.只要在php页面的最开始(要在任何输出之前,并且在session_start()之前)的地方进行以下设置

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.mydomain.com');
ini_set('session.cookie_lifetime', '1800');

2.在php.ini里设置

session.cookie_path = /
session.cookie_domain = .mydomain.com

session.cookie_lifetime = 1800

3.在php页面最开始的地方(条件同1)调用函数

session_set_cookie_params(1800 , '/', '.mydomain.com');

这三种方式都是同样的效果。

设置后,我在sub1和sub2下测试后,发现不起作用,而且奇怪的是,每在一个子域下设置session后,在另一个子域下调用session后,发现session会被清空。测试代码如下

sub1.php

<?php

session_set_cookie_params(1800 , '/', '.mydomain.com');
session_start();
print_r($_SESSION);
$_SESSION['sub1'] = 'sub1';
print_r($_SESSION);

?>

sub2.php

<?php

session_set_cookie_params(1800 , '/', '.mydomain.com');
session_start();
print_r($_SESSION);
$_SESSION['sub2'] = 'sub2';
print_r($_SESSION);

?>

百度+google了半天,发现原来是suhosin的问题。  这也是偶然看到的 https://bugs.php.net/bug.php?id=43682

这里是suhosin 的官网,好像是韩国人开发的 http://www.hardened-php.net/suhosin/configuration.html

suhosin是增加php安全的服务器扩展,比如加密session在服务器上的存储文件,加密cookie等。那么suhosin如何对session保护的呢?

suhosin.session.cryptdocroot

官方解释:Flag that decides if the transparent session encryption key depends on the Documentroot field.

suhosin.cookie.cryptdocroot

官方解释:Flag that decides if the transparent cookie encryption key depends on the Documentroot field.

只要把这两个关闭就可以了,但是这里关闭的方法要注意了

我用

ini_set("suhosin.session.cryptdocroot", "Off");
ini_set("suhosin.cookie.cryptdocroot", "Off");

没有效果,为什么呢?

因为这两个配置根本不在php.ini里(查找看到是在/etc/php5/conf.d/suhosin.ini)

打开suhosin.ini

suhosin.session.cryptdocroot = off

suhosin.cookie.cryptdocroot = off

关闭后,重启apache,成功

----------------------------------------------------------------------------------------------------

 第二个目标的实现可以使用数据库来保存SESSION 数据,这样各个服务器就可以方便地访问同一个数据源,获取相同的SESSION 数据了;或者是通过文件共享方式,如 NFS 方式(我的其他文章有如何配置nfs)
     如果用数据库存储session数据的话,可能会有遗留问题,就是如果网站的访问量很大的话,SESSION
的读写会频繁地对数据库进行操作,可以把这个放在memcache中。存放在数据库里的前面有文章实现了。把数据库和memcache结合的思路,前面有
了。如果单独用memcache存放session不太好,最好和数据库结合操作。

2)跨域解决

思路:用iframe解决,但是ff不支持,所以需要前面加上p3p协议。

P3P(Platform for Privacy Preferences Project),简单的说,就是个协议,通过其声明它是好人,允许我收集浏览器用户行为吧... 可现实中,大家都可以说自己是好人,背地里没准儿干啥坏事呢。这就是其分歧所在。[参考] 国内多数网站,都不关注这个
P3P。隐私问题可能没国外(微软的隐私声明)重视吧。

首先想到就是通过JS操作Cookie并让两个不同域的cookie能够相互访问,这样就可达到了上述的效果,具体实现过程大致可分以下两个步骤:

1、在A系统下成功登录后,利用JS动态创建一个隐藏的iframe,通过iframe的src属性将A域下的cookie值作为get参数重定向到B系统下b.jsp页面上;

  1. var   _frm   =   document.createElement("iframe");
  2. _frm.style.display="none";
  3. _frm.src="http://www.222.com/setcookie.php?mycookie=xxxxx";  //此处xxx最好编码
  4. document.body.appendChild(_frm);

2、在B系统的setcookie.php页面中来获取A系统中所传过来的cookie值,并将所获取到值写入用户的cookie中,当然域是自己的了,
这样就简单的实现了cookie跨域的访问; 不过这其中有个问题需要注意,就是在IE浏览器下这样操作不能成功,需要在setocokie.php页面
中设置P3P
HTTP Header就可以解决了(具体詳細信息可以参考:http://www.w3.org/P3P/),P3P设置代码为:

     header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');//ecshop这么设置的

php session 跨子域和跨服务器解决方式的更多相关文章

  1. php 跨域、跨子域,跨服务器读取session

    1.跨子域和跨服务器解决方式 Session主要分两部分:   一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在    另一个是标志着Session数据的Se ...

  2. html5的postmessage实现js前端跨域訪问及调用解决方式

    关于跨域訪问.使用JSONP的方法.我前面已经demo过了.详细见http://supercharles888.blog.51cto.com/609344/856886,HTML5提供了一个很强大的A ...

  3. 辛星浅析跨域传输的CORS解决方式

    首先我们有一个概念.那就是"同源准则",也就是same-origin  policy,它要求一个站点(协议+主机+port号)来确定的脚本.XMLHttpRequest和Webso ...

  4. 使用TLSharp进行Telegram中遭遇循环体内报session.dat文件被占用时解决方式一例

    背景 公司做Telegram开发,.net Framework项目,调用TLSharp作为框架进行开发. 开发需求是读取群里新到达的信息并进行过滤. 由此不可避免得要用到 TLSharp.Core.T ...

  5. Teamcity部署.net服务“无法连接到远程服务器”解决方式

    在公司Teamcity上执行自动部署.net服务的时候,发现Teamcity在启动default.aspx的时候报错了,提示:使用“0”个参数调用“GetResponse”时发生异常:“无法连接到远程 ...

  6. PHP session 跨子域问题

    今天,做项目时候遇到个问题.之前做东西的时候session一般就直接存在数据库中这样就能解决跨域 不仅仅是跨子域,但是今天遇到这个问题是,自己要在别人现有的东西上面做修改.由于仅仅是子域 当时就行肯定 ...

  7. PHP session 跨子域问题总结 ini_set('session.cookie_domain', ".domain.com")

    Session主要分两部分: 一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在 另一个是标志着Session数据的Session Id,Session ID, ...

  8. 关于spring session redis共享session的跨子域的处理

    安装完redis, spring端只要下面这两个bean配置上就可以用了 <?xml version="1.0" encoding="UTF-8"?> ...

  9. 【Todo】JS跨域访问问题的解决

    做双十一,需要在主会场页面,嵌入我们产品的JS豆腐块.而这个豆腐块需要调用我们后端的数据接口,涉及跨域访问. 参考 http://www.cnblogs.com/2050/p/3191744.html ...

随机推荐

  1. 6 个JavaScript日期处理库

    1. Later.js Later.js, a stadalone JavaScript library, offers an advanced usage for triggering recurr ...

  2. Linux环境下配置eclipse,以及创建maven工程

    一:maven的安装 1.安装配置maven环境变量 2.验证 二:eclipse的安装 3.解压配置eclipse 4.启动eclipse,必须在虚拟机的eclipse下启动 5.结果 三:修改配置 ...

  3. HighCharts -教程+例子

    Highchart简介:   Highcharts是一款免费开源的纯javascript编写的图表库,能够很简单便捷的在Web网站或Web应用中添加交互性的图表,  Highcharts目前支持直线图 ...

  4. A linked list is given such that each node contains an additional random pointer which could point to any node in the list or null. Return a deep copy of the list.

    图解: 此题过程分为三个阶段,分别是 1.负责后面一个节点,并且将这个节点插入到原来链表中  2.复制后面一个节点的random指针. 3 拆分组合链表为两部分. 第一部分代码: while(curr ...

  5. 配置Tomcat6的管理用户

    在Tomcat上发布war之前需要配置一个管理用户以进入上传页面,而配置就是通过修改/usr/local/tomcat6/conf/tomcat-users.xml这个文件进行的.下面是修改后的文字: ...

  6. Interview with BOA

    1. BFS 2. QuickSort 3. PCA, 1000 articles, so many factors, how to reduce factors. 4. newton's metho ...

  7. Sequential Read Ahead For SQL Server

    Balancing CPU and I/O throughput is essential to achieve good overall performance and to maximize ha ...

  8. 每日目标——HTML 头部标签学习 2015-8-27

    <head> <title>bp</title> <meta http-equiv="Content-Type" content=&quo ...

  9. AES对称加密算法原理

    原著:James McCaffrey 翻译:小刀人 原文出处:MSDN Magazine November 2003 (Encrypt It) 本文的代码下载:msdnmag200311AES.exe ...

  10. robotframework 测试结果写入数据库

    即将更新...........