Teilen auf der Grube: Laravel-Integrationsprozess von phpCAS

Die folgende Tutorial-Kolumne von Laravel wird Ihnen eine Falle des in Laravel integrierten phpCAS zeigen. Ich hoffe, dass es für Freunde hilfreich sein wird, die es brauchen!

Laravel integriert phpCAS

CAS ist derzeit ein beliebtes Single-Sign-On-Protokoll. Der offizielle Code-Stil ist noch in der PEAR-Ära geblieben Es werden keine verwendet. Glücklicherweise unterstützt phpCAS die Einführung von Composer und ich habe mehrere Laravel-Projekteinführungen ohne Probleme durchgeführt. In den letzten zwei Tagen hätte ich jedoch nie damit gerechnet, dass ein Projekt von einer Einzelmaschinenbereitstellung geändert werden muss Auf einige Fallstricke werde ich hier einmal eingehen.

Callback Pit

Beim Sprung zum CAS-Server zur Authentifizierung wurde festgestellt, dass die eingehende Callback-Adresse mit Port 8080 hinzugefügt wurde. Da es sich um eine Bereitstellung mit mehreren Maschinen handelt, durchläuft die Zugriffsanforderung zunächst den Load Balancer (Alibaba Cloud SLB) und erreicht dann den Webserver. Dieser 8080 ist der Überwachungsport des Webservers.

Also habe ich die Logik von phpCAS verfolgt, um die Rückrufadresse zu generieren, und diesen Code gefunden:

if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
    $server_port = $_SERVER['SERVER_PORT'];
} else {
    $ports = explode(',', $_SERVER['HTTP_X_FORWARDED_PORT']);
    $server_port = $ports[0];
}

Der SLB von Alibaba Cloud übergibt den http-Header X-FORWARDED-PORT nicht an den Backend-Server. Daher erhält phpCAS $_SERVER['SERVER_PORT'], was den Port 8080 von Nginx darstellt. X-FORWARDED-PORT 这个 http 头，因此 phpCAS 就会拿到 $_SERVER['SERVER_PORT'] 也就是 nginx 的端口8080。

好在 phpCAS 提供了 setFixedServiceURL 函数，可以让我们手动去设定回调地址：

phpCAS::setFixedServiceURL($request->url());

这下回调地址正常了，但是从 CAS Server 返回到 client 端时被告知 ticket 无效。

继续查日志和代码，发现这里是自己疏忽了，当 CAS Server 返回到 client 端时页面的 url 是 http://client/login?ticket=xxxxx，而 client 端使用 ticket 向 server 换取用户信息时还需要带上申请该 ticket 时的回调地址（service），server 端会校验 ticket 和 service 是否一致，而申请 ticket 时的 service 应该是 http://client/login，因此我们需要把 url 里的 ticket 参数去掉。

phpCAS::setFixedServiceURL($this->getUrlWithoutTicket($request));

getUrlWithoutTicket 函数如下：

private function getUrlWithoutTicket(Request $request)
{
    $query = parse_query($request->getQueryString());
    unset($query['ticket']);
    $question = $request->getBaseUrl().$request->getPathInfo() == '/' ? '/?' : '?';

    return $query ? $request->url().$question.http_build_query($query) : $request->url();
}

Session 坑

这是一个 phpCAS + Laravel 的组合坑，坑得死去活来没脾气。

PHP 默认是 Session 存储方式是文件，因此单机变多机一个很重要的点就是处理 Session 共享。方案也很简单，就是把 Session 存储方式从文件改成 redis/memecache/database 等。

Laravel 默认提供了这些 driver，于是兴冲冲地改了下 .env 文件，把 SESSION_DRIVER 改成 redis。拉到线上一试，发现不行，phpCAS 对 $_SESSION 变量的变更并没有被写到 redis 里，怎么回事！

于是追了一下 Laravel 的 Session 实现，发现并不是想象中的使用 session_set_save_handler 来注册 Session 读写逻辑，也就是说 Laravel 的 Session 其实并没有修改 php 的 $_SESSION 的读写逻辑，直接操作 $_SESSION 还是走的默认行为（读写本地文件）。

那好吧，好在 Laravel 的几个 SessionDriver 都实现了 SessionHandlerInterface 接口，我们可以自己调用一下 session_set_save_handler：

session_set_save_handler(app(StartSession::class)->getSession($request)->getHandler());

万万没想到报错！

session_write_close(): Session callback expects true/false return value

追了一下 Laravel 的代码，发现 redis driver 的父类 IlluminateSessionCacheBasedSessionHandler 的 write 方法返回的是 void。于是提了一个 PR 打算修一下，没想到被拒绝，原来是之前有人修过又被 revert 了，说是会导致服务器卡住，然而我并没有找到具体的 issue。

那好吧，memcache 和 redis 都是继承的这个父类，那我就换只好 database 试试看。

这回 session_write_close 不报错了，但是 CAS 登录还是有问题，不断在 CAS server 和回调 url 之间跳转。于是又追了一路 log 和代码，发现 database driver 类 IlluminateSessionDatabaseSessionHandler 的 destroy 方法在销毁 Session 之后没有将 $this->exists 属性标记为 false，而 phpCAS 有一处逻辑是 renameSession

$old_session = $_SESSION;
session_destroy();
$session_id = preg_replace('/[^a-zA-Z0-9\-]/', '', $ticket);
session_id($session_id);
session_start();
$_SESSION = $old_session;

后果就是 $_SESSION = $old_session;  所对应操作 session 表的 sql 执行的是 update 而不是 insert，也就是没能将 session 数据写入 session 表！

实在没有办法了，只能自己写一个 Session Wrapper 来处理。

从上面两个情况来看，redis driver 比较好处理，只要能在调用 write 方法时返回 true 就可以了。所以代码如下

namespace App\Services;

use SessionHandlerInterface;

class MySession implements SessionHandlerInterface
{
    /**
     * @var SessionHandlerInterface
     */
    protected $realHdl;

    /**
     * Session constructor.
     * @param SessionHandlerInterface $realHdl
     */
    public function __construct(SessionHandlerInterface $realHdl)
    {
        $this->realHdl = $realHdl;
    }

    public function close()
    {
        return $this->realHdl->close();
    }

    public function destroy($session_id)
    {
        return $this->realHdl->destroy($session_id);
    }

    public function gc($maxlifetime)
    {
        return $this->realHdl->gc($maxlifetime);
    }

    public function open($save_path, $name)
    {
        return $this->realHdl->open($save_path, $name);
    }

    public function read($session_id)
    {
        return $this->realHdl->read($session_id) ?: '';
    }

    public function write($session_id, $session_data)
    {
        $this->realHdl->write($session_id, $session_data);

        return true; // 这里
    }
}

然后调用 session_set_save_handler

Glücklicherweise bietet phpCAS die Funktion setFixedServiceURL, mit der wir die Rückrufadresse manuell festlegen können:

session_set_save_handler(new MySession(app(StartSession::class)->getSession($request)->getHandler()));

Die Rückrufadresse ist jetzt normal, aber wenn wir vom CAS-Server zum Client zurückkehren, sind wir es sagte, dass das Ticket ungültig sei.

🎜Bei der weiteren Überprüfung der Protokolle und Codes stellte ich fest, dass ich hier fahrlässig gehandelt hatte. Als der CAS-Server zum Client zurückkehrte, lautete die URL der Seite http://client/login?ticket=xxxxx und der verwendete Client Wenn das Ticket Benutzerinformationen mit dem Server austauscht, muss es bei der Beantragung des Tickets auch die Rückrufadresse (Dienst) mitbringen. Der Server überprüft, ob das Ticket und der Dienst konsistent sind, und der Dienst bei der Beantragung für das Ticket sollte http://client/ login lauten, daher müssen wir den Ticketparameter in der URL entfernen. 🎜rrreee🎜getUrlWithoutTicket Die Funktion lautet wie folgt: 🎜rrreee🎜Sitzungsfalle🎜🎜Dies ist eine Kombinationsfalle aus phpCAS + Laravel, die Sie die Beherrschung verlieren lässt. 🎜🎜PHP verwendet standardmäßig die Sitzungsspeichermethode als Datei. Daher ist ein sehr wichtiger Punkt bei der Konvertierung einer einzelnen Maschine in mehrere Maschinen die Verwaltung der Sitzungsfreigabe. Die Lösung ist auch sehr einfach: Ändern Sie die Sitzungsspeichermethode von Datei zu Redis/Memecache/Datenbank usw. 🎜🎜Laravel stellt diese Treiber standardmäßig zur Verfügung, daher habe ich aufgeregt die Datei .env geändert und SESSION_DRIVER in redis geändert. Ich habe es online ausprobiert und festgestellt, dass es nicht funktioniert hat. Die von phpCAS an der Variablen $_SESSION vorgenommenen Änderungen wurden nicht in Redis geschrieben. 🎜🎜Also habe ich die Session-Implementierung von Laravel verfolgt und festgestellt, dass es sich nicht um die vorgestellte Verwendung von session_set_save_handler zur Registrierung der Lese- und Schreiblogik von Session handelte. Mit anderen Worten: Laravel's Session hat den $_SESSION von PHP nicht wirklich geändert . s Lese- und Schreiblogik, bedienen Sie direkt $_SESSION oder folgen Sie dem Standardverhalten (Lesen und Schreiben lokaler Dateien). 🎜🎜Glücklicherweise haben mehrere SessionDriver in Laravel die Schnittstelle SessionHandlerInterface implementiert. Wir können session_set_save_handler selbst aufrufen: 🎜rrreee🎜Ich habe nie mit einem Fehler gerechnet! 🎜rrreee🎜Habe den Laravel-Code verfolgt und festgestellt, dass die write-Methode der übergeordneten Klasse IlluminateSessionCacheBasedSessionHandler des Redis-Treibers void zurückgegeben hat. Also habe ich eine PR eingereicht, um das Problem zu beheben, aber ich habe nicht damit gerechnet, dass es abgelehnt wurde. Es stellte sich heraus, dass jemand es zuvor behoben und es dann zurückgesetzt hatte, mit der Begründung, dass der Server dadurch hängen bleiben würde. Ich kann das spezifische Problem nicht finden. 🎜🎜Nun, Memcache und Redis erben beide diese übergeordnete Klasse, daher muss ich es stattdessen mit der Datenbank versuchen. 🎜🎜Dieses Mal meldet session_write_close keinen Fehler, aber es gibt immer noch ein Problem mit der CAS-Anmeldung und es springt ständig zwischen dem CAS-Server und der Rückruf-URL. Also habe ich alle Protokolle und Codes durchgesehen und festgestellt, dass die Methode destroy der Datenbanktreiberklasse IlluminateSessionDatabaseSessionHandler $this->exists nicht ersetzt hat nach dem Zerstören der Sitzung wird das Attribut als false markiert und phpCAS hat eine Logik von renameSession🎜rrreee🎜Die Konsequenz ist, dass $_SESSION = $old_session; entspricht der Operation der Sitzungstabelle. SQL führt Update anstelle von Insert aus, was bedeutet, dass die Sitzungsdaten nicht in die Sitzungstabelle geschrieben werden können! 🎜🎜Es gibt wirklich keine andere Möglichkeit, als einen Session Wrapper zu schreiben, um damit umzugehen. 🎜🎜Aus den beiden oben genannten Situationen ist der Redis-Treiber einfacher zu handhaben, solange er beim Aufruf der Schreibmethode true zurückgeben kann. Der Code lautet also wie folgt: 🎜rrreee🎜 und ruft dann <code>session_set_save_handler auf, um 🎜rrreee🎜Fertig zu werden! 🎜🎜

Das obige ist der detaillierte Inhalt vonTeilen auf der Grube: Laravel-Integrationsprozess von phpCAS. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!