下面由laravel教程欄目給大家分享一個laravel 集成 phpcas 踩坑記,希望對需要的朋友有所幫助!
Laravel 集成 phpCAS 踩坑記
CAS 是目前比較流行的單點登錄協議,官方提供了 php 版本的 client 端 phpCAS,到目前為止其編碼風格還一直停留在 PEAR 時代,連命名空間都沒有使用。好在 phpCAS 支持 composer 引入,做過幾個 Laravel 項目引入也沒有什么問題,然而這兩天有一個項目需要從單機部署變成多機部署,萬萬沒想到在這里踩了一些坑,在此記錄一下。
回調坑
在跳轉到 CAS Server 進行認證時發現,傳入的回調地址被加上了端口8080。因為是多機部署,所以訪問請求會先經過負載均衡器(阿里云 SLB),再到達 web 服務器,而這個8080是 web 服務器的監聽端口。
于是追查 phpCAS 生成回調地址的邏輯,發現有這么一段代碼:
立即學習“PHP免費學習筆記(深入)”;
if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) { $server_port = $_SERVER['SERVER_PORT']; } else { $ports = explode(',', $_SERVER['HTTP_X_FORWARDED_PORT']); $server_port = $ports[0]; }
而阿里云的 SLB 并不會傳給后端服務器 X-FORWARDED-PORT 這個 http 頭,因此 phpCAS 就會拿到 $_SERVER[‘SERVER_PORT’] 也就是 nginx 的端口8080。
好在 phpCAS 提供了 setFixedServiceURL 函數,可以讓我們手動去設定回調地址:
phpCAS::setFixedServiceURL($request->url());
這下回調地址正常了,但是從 CAS Server 返回到 client 端時被告知 ticket 無效。
繼續查日志和代碼,發現這里是自己疏忽了,當 CAS Server 返回到 client 端時頁面的 url 是 http://client/login?ticket=xxxxx,而 client 端使用 ticket 向 server 換取用戶信息時還需要帶上申請該 ticket 時的回調地址(service),server 端會校驗 ticket 和 service 是否一致,而申請 ticket 時的 service 應該是 http://client/login,因此我們需要把 url 里的 ticket 參數去掉。
phpCAS::setFixedServiceURL($this->getUrlWithoutTicket($request));
getUrlWithoutTicket 函數如下:
private function getUrlWithoutTicket(Request $request) { $query = parse_query($request->getQueryString()); unset($query['ticket']); $question = $request->getBaseUrl().$request->getPathInfo() == '/' ? '/?' : '?'; return $query ? $request->url().$question.http_build_query($query) : $request->url(); }
Session 坑
這是一個 phpCAS + Laravel 的組合坑,坑得死去活來沒脾氣。
PHP 默認是 Session 存儲方式是文件,因此單機變多機一個很重要的點就是處理 Session 共享。方案也很簡單,就是把 Session 存儲方式從文件改成 redis/memecache/database 等。
Laravel 默認提供了這些 driver,于是興沖沖地改了下 .env 文件,把 SESSION_DRIVER 改成 redis。拉到線上一試,發現不行,phpCAS 對 $_SESSION 變量的變更并沒有被寫到 redis 里,怎么回事!
于是追了一下 Laravel 的 Session 實現,發現并不是想象中的使用 session_set_save_handler 來注冊 Session 讀寫邏輯,也就是說 Laravel 的 Session 其實并沒有修改 php 的 $_SESSION 的讀寫邏輯,直接操作 $_SESSION 還是走的默認行為(讀寫本地文件)。
那好吧,好在 Laravel 的幾個 SessionDriver 都實現了 SessionHandlerInterface 接口,我們可以自己調用一下 session_set_save_handler:
session_set_save_handler(app(StartSession::class)->getSession($request)->getHandler());
萬萬沒想到報錯!
session_write_close(): Session callback expects true/false return value
追了一下 Laravel 的代碼,發現 redis driver 的父類 IlluminateSessionCacheBasedSessionHandler 的 write 方法返回的是 void。于是提了一個 PR 打算修一下,沒想到被拒絕,原來是之前有人修過又被 revert 了,說是會導致服務器卡住,然而我并沒有找到具體的 issue。
那好吧,memcache 和 redis 都是繼承的這個父類,那我就換只好 database 試試看。
這回 session_write_close 不報錯了,但是 CAS 登錄還是有問題,不斷在 CAS server 和回調 url 之間跳轉。于是又追了一路 log 和代碼,發現 database driver 類 IlluminateSessionDatabaseSessionHandler 的 destroy 方法在銷毀 Session 之后沒有將 $this->exists 屬性標記為 false,而 phpCAS 有一處邏輯是 renameSession
$old_session = $_SESSION; session_destroy(); $session_id = preg_replace('/[^a-zA-Z0-9-]/', '', $ticket); session_id($session_id); session_start(); $_SESSION = $old_session;
后果就是 $_SESSION = $old_session; ?所對應操作 session 表的 sql 執行的是 update 而不是 insert,也就是沒能將 session 數據寫入 session 表!
實在沒有辦法了,只能自己寫一個 Session Wrapper 來處理。
從上面兩個情況來看,redis driver 比較好處理,只要能在調用 write 方法時返回 true 就可以了。所以代碼如下
namespace AppServices; use SessionHandlerInterface; class MySession implements SessionHandlerInterface { /** * @var SessionHandlerInterface */ protected $realHdl; /** * Session constructor. * @param SessionHandlerInterface $realHdl */ public function __construct(SessionHandlerInterface $realHdl) { $this->realHdl = $realHdl; } public function close() { return $this->realHdl->close(); } public function destroy($session_id) { return $this->realHdl->destroy($session_id); } public function gc($maxlifetime) { return $this->realHdl->gc($maxlifetime); } public function open($save_path, $name) { return $this->realHdl->open($save_path, $name); } public function read($session_id) { return $this->realHdl->read($session_id) ?: ''; } public function write($session_id, $session_data) { $this->realHdl->write($session_id, $session_data); return true; // 這里 } }
然后調用 session_set_save_handler 變成
session_set_save_handler(new MySession(app(StartSession::class)->getSession($request)->getHandler()));
Done !
