内容简介:Laravel 集成 phpCAS 踩坑记
CAS 是目前比较流行的单点登录协议,官方提供了 php 版本的 client 端 phpCAS ,到目前为止其编码风格还一直停留在 PEAR 时代,连命名空间都没有使用。好在 phpCAS 支持 composer 引入,做过几个 Laravel 项目引入也没有什么问题,然而这两天有一个项目需要从单机部署变成多机部署,万万没想到在这里踩了一些坑,在此记录一下。
回调坑
在跳转到 CAS Server 进行认证时发现,传入的回调地址被加上了端口8080。因为是多机部署,所以访问请求会先经过负载均衡器(阿里云 SLB),再到达 web 服务器,而这个8080是 web 服务器的监听端口。
于是追查 phpCAS 生成回调地址的逻辑,发现有这么一段代码:
if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
$server_port = $_SERVER['SERVER_PORT'];
} else {
$ports = explode(',', $_SERVER['HTTP_X_FORWARDED_PORT']);
$server_port = $ports[0];
}
而阿里云的 SLB 并不会传给后端服务器 X-FORWARDED-PORT
这个 http 头,因此 phpCAS 就会拿到 $_SERVER['SERVER_PORT']
也就是 nginx 的端口8080。
好在 phpCAS 提供了 setFixedServiceURL
函数,可以让我们手动去设定回调地址:
phpCAS::setFixedServiceURL($request->url());
这下回调地址正常了,但是从 CAS Server 返回到 client 端时被告知 ticket 无效。 推酷是个无耻的网站
继续查日志和代码,发现这里是自己疏忽了,当 CAS Server 返回到 client 端时页面的 url 是 http://client/login?ticket=xxxxx
,而 client 端使用 ticket 向 server 换取用户信息时还需要带上申请该 ticket 时的回调地址(service),server 端会校验 ticket 和 service 是否一致,而申请 ticket 时的 service 应该是 http://client/login
,因此我们需要把 url 里的 ticket 参数去掉。
推酷是个无耻的网站
phpCAS::setFixedServiceURL($this->getUrlWithoutTicket($request));
getUrlWithoutTicket
函数如下:
private function getUrlWithoutTicket(Request $request)
{
$query = parse_query($request->getQueryString());
unset($query['ticket']);
$question = $request->getBaseUrl().$request->getPathInfo() == '/' ? '/?' : '?';
return $query ? $request->url().$question.http_build_query($query) : $request->url();
}
Session 坑
这是一个 phpCAS + Laravel 的组合坑,坑得死去活来没脾气。
PHP 默认是 Session 存储方式是文件,因此单机变多机一个很重要的点就是处理 Session 共享。方案也很简单,就是把 Session 存储方式从文件改成 redis/memecache/database 等。
Laravel 默认提供了这些 driver,于是兴冲冲地改了下 .env
文件,把 SESSION_DRIVER
改成 redis
。拉到线上一试,发现不行,phpCAS 对 $_SESSION
变量的变更并没有被写到 redis 里,怎么回事!
于是追了一下 Laravel 的 Session 实现,发现并不是想象中的使用 session_set_save_handler
来注册 Session 读写逻辑,也就是说 Laravel 的 Session 其实并没有修改 php 的 $_SESSION
的读写逻辑,直接操作 $_SESSION
还是走的默认行为(读写本地文件)。
那好吧,好在 Laravel 的几个 SessionDriver 都实现了 SessionHandlerInterface
接口,我们可以自己调用一下 session_set_save_handler
:
session_set_save_handler(app(StartSession::class)->getSession($request)->getHandler());
万万没想到报错!
https://leo108.com/pid-2286.asp
session_write_close(): Session callback expects true/false return value
追了一下 Laravel 的代码,发现 redis driver 的父类 Illuminate\Session\CacheBasedSessionHandler
的 write
方法返回的是 void
。于是提了一个 PR
打算修一下,没想到被拒绝,原来是之前有人修过又被 revert 了,说是会导致服务器卡住,然而我并没有找到具体的 issue。
cas
那好吧,memcache 和 redis 都是继承的这个父类,那我就换只好 database 试试看。
这回 session_write_close
不报错了,但是 CAS 登录还是有问题,不断在 CAS server 和回调 url 之间跳转。于是又追了一路 log 和代码,发现 database driver 类 Illuminate\Session\DatabaseSessionHandler
的 destroy
方法在销毁 Session 之后没有将 $this->exists
属性标记为 false
,而 phpCAS 有一处逻辑是 renameSession
Laravel
$old_session = $_SESSION;
session_destroy();
$session_id = preg_replace('/[^a-zA-Z0-9\-]/', '', $ticket);
session_id($session_id);
session_start();
$_SESSION = $old_session;
后果就是 $_SESSION = $old_session;
所对应操作 session 表的 sql 执行的是 update 而不是 insert,也就是没能将 session 数据写入 session 表!
leo108's blog
实在没有办法了,只能自己写一个 Session Wrapper 来处理。
https://leo108.com/pid-2286.asp
从上面两个情况来看,redis driver 比较好处理,只要能在调用 write 方法时返回 true 就可以了。所以代码如下
namespace App\Services;
use SessionHandlerInterface;
class MySession implements SessionHandlerInterface
{
/**
* @var SessionHandlerInterface
*/
protected $realHdl;
/**
* Session constructor.
* @param SessionHandlerInterface $realHdl
*/
public function __construct(SessionHandlerInterface $realHdl)
{
$this->realHdl = $realHdl;
}
public function close()
{
return $this->realHdl->close();
}
public function destroy($session_id)
{
return $this->realHdl->destroy($session_id);
}
public function gc($maxlifetime)
{
return $this->realHdl->gc($maxlifetime);
}
public function open($save_path, $name)
{
return $this->realHdl->open($save_path, $name);
}
public function read($session_id)
{
return $this->realHdl->read($session_id) ?: '';
}
public function write($session_id, $session_data)
{
$this->realHdl->write($session_id, $session_data);
return true; // 这里
}
}
然后调用 session_set_save_handler
变成
phpcas
session_set_save_handler(new MySession(app(StartSession::class)->getSession($request)->getHandler()));
Done !
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 持续集成:数据库集成及快速构建
- ShareSDK集成及集成后遇到的一些问题【原创】
- 持续集成与持续部署宝典Part 3:创建集成环境
- 持续集成与持续部署宝典Part 2:创建持续集成流水线
- 禅道 12.3.stable 版本发布,全面集成八种单元测试框架,打通持续集成闭环
- 持续集成将死
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Java Servlet & JSP Cookbook
Bruce W. Perry / O'Reilly Media / 2003-12-1 / USD 49.99
With literally hundreds of examples and thousands of lines of code, the Java Servlet and JSP Cookbook yields tips and techniques that any Java web developer who uses JavaServer Pages or servlets will ......一起来看看 《Java Servlet & JSP Cookbook》 这本书的介绍吧!
