Partage sur la fosse : processus d'intégration Laravel de phpCAS

La colonne tutorielle suivante de Laravel partagera avec vous un piège du phpCAS intégré à Laravel. J'espère qu'elle sera utile aux amis qui en ont besoin !

Laravel intègre phpCAS

CAS est actuellement un protocole d'authentification unique populaire. Le responsable fournit une version php de phpCAS côté client. Jusqu'à présent, son style de codage est toujours resté dans l'ère PEAR, même l'espace de noms. Aucun n’est utilisé. Heureusement, phpCAS prend en charge l'introduction de composer, et j'ai fait plusieurs introductions de projets Laravel sans aucun problème. Cependant, au cours des deux derniers jours, un projet doit passer d'un déploiement sur une seule machine à un déploiement sur plusieurs machines. marchez sur quelques pièges ici. Je les enregistrerai ici une fois.

Callback pit

Lors du passage au serveur CAS pour l'authentification, il a été constaté que l'adresse de rappel entrante avait été ajoutée avec le port 8080. Puisqu'il s'agit d'un déploiement multi-machine, la demande d'accès passera d'abord par l'équilibreur de charge (Alibaba Cloud SLB) puis atteindra le serveur web, et ce 8080 est le port d'écoute du serveur web.

J'ai donc retracé la logique de phpCAS pour générer l'adresse de rappel et j'ai trouvé ce morceau de code :

if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
    $server_port = $_SERVER['SERVER_PORT'];
} else {
    $ports = explode(',', $_SERVER['HTTP_X_FORWARDED_PORT']);
    $server_port = $ports[0];
}

Le SLB d'Alibaba Cloud ne transmet pas l'en-tête http X-FORWARDED-PORT au serveur backend, donc phpCAS obtiendra $_SERVER['SERVER_PORT'] qui est le port 8080 de nginx. X-FORWARDED-PORT 这个 http 头，因此 phpCAS 就会拿到 $_SERVER['SERVER_PORT'] 也就是 nginx 的端口8080。

好在 phpCAS 提供了 setFixedServiceURL 函数，可以让我们手动去设定回调地址：

phpCAS::setFixedServiceURL($request->url());

这下回调地址正常了，但是从 CAS Server 返回到 client 端时被告知 ticket 无效。

继续查日志和代码，发现这里是自己疏忽了，当 CAS Server 返回到 client 端时页面的 url 是 http://client/login?ticket=xxxxx，而 client 端使用 ticket 向 server 换取用户信息时还需要带上申请该 ticket 时的回调地址（service），server 端会校验 ticket 和 service 是否一致，而申请 ticket 时的 service 应该是 http://client/login，因此我们需要把 url 里的 ticket 参数去掉。

phpCAS::setFixedServiceURL($this->getUrlWithoutTicket($request));

getUrlWithoutTicket 函数如下：

private function getUrlWithoutTicket(Request $request)
{
    $query = parse_query($request->getQueryString());
    unset($query['ticket']);
    $question = $request->getBaseUrl().$request->getPathInfo() == '/' ? '/?' : '?';

    return $query ? $request->url().$question.http_build_query($query) : $request->url();
}

Session 坑

这是一个 phpCAS + Laravel 的组合坑，坑得死去活来没脾气。

PHP 默认是 Session 存储方式是文件，因此单机变多机一个很重要的点就是处理 Session 共享。方案也很简单，就是把 Session 存储方式从文件改成 redis/memecache/database 等。

Laravel 默认提供了这些 driver，于是兴冲冲地改了下 .env 文件，把 SESSION_DRIVER 改成 redis。拉到线上一试，发现不行，phpCAS 对 $_SESSION 变量的变更并没有被写到 redis 里，怎么回事！

于是追了一下 Laravel 的 Session 实现，发现并不是想象中的使用 session_set_save_handler 来注册 Session 读写逻辑，也就是说 Laravel 的 Session 其实并没有修改 php 的 $_SESSION 的读写逻辑，直接操作 $_SESSION 还是走的默认行为（读写本地文件）。

那好吧，好在 Laravel 的几个 SessionDriver 都实现了 SessionHandlerInterface 接口，我们可以自己调用一下 session_set_save_handler：

session_set_save_handler(app(StartSession::class)->getSession($request)->getHandler());

万万没想到报错！

session_write_close(): Session callback expects true/false return value

追了一下 Laravel 的代码，发现 redis driver 的父类 IlluminateSessionCacheBasedSessionHandler 的 write 方法返回的是 void。于是提了一个 PR 打算修一下，没想到被拒绝，原来是之前有人修过又被 revert 了，说是会导致服务器卡住，然而我并没有找到具体的 issue。

那好吧，memcache 和 redis 都是继承的这个父类，那我就换只好 database 试试看。

这回 session_write_close 不报错了，但是 CAS 登录还是有问题，不断在 CAS server 和回调 url 之间跳转。于是又追了一路 log 和代码，发现 database driver 类 IlluminateSessionDatabaseSessionHandler 的 destroy 方法在销毁 Session 之后没有将 $this->exists 属性标记为 false，而 phpCAS 有一处逻辑是 renameSession

$old_session = $_SESSION;
session_destroy();
$session_id = preg_replace('/[^a-zA-Z0-9\-]/', '', $ticket);
session_id($session_id);
session_start();
$_SESSION = $old_session;

后果就是 $_SESSION = $old_session;  所对应操作 session 表的 sql 执行的是 update 而不是 insert，也就是没能将 session 数据写入 session 表！

实在没有办法了，只能自己写一个 Session Wrapper 来处理。

从上面两个情况来看，redis driver 比较好处理，只要能在调用 write 方法时返回 true 就可以了。所以代码如下

namespace App\Services;

use SessionHandlerInterface;

class MySession implements SessionHandlerInterface
{
    /**
     * @var SessionHandlerInterface
     */
    protected $realHdl;

    /**
     * Session constructor.
     * @param SessionHandlerInterface $realHdl
     */
    public function __construct(SessionHandlerInterface $realHdl)
    {
        $this->realHdl = $realHdl;
    }

    public function close()
    {
        return $this->realHdl->close();
    }

    public function destroy($session_id)
    {
        return $this->realHdl->destroy($session_id);
    }

    public function gc($maxlifetime)
    {
        return $this->realHdl->gc($maxlifetime);
    }

    public function open($save_path, $name)
    {
        return $this->realHdl->open($save_path, $name);
    }

    public function read($session_id)
    {
        return $this->realHdl->read($session_id) ?: '';
    }

    public function write($session_id, $session_data)
    {
        $this->realHdl->write($session_id, $session_data);

        return true; // 这里
    }
}

然后调用 session_set_save_handler

Heureusement, phpCAS fournit la fonction setFixedServiceURL, qui nous permet de définir manuellement l'adresse de rappel :

session_set_save_handler(new MySession(app(StartSession::class)->getSession($request)->getHandler()));

L'adresse de rappel est normale maintenant, mais lors du retour du serveur CAS vers le client, nous sommes dit que le billet n'est pas valide.

🎜En continuant à vérifier les journaux et les codes, j'ai constaté que j'avais fait preuve de négligence ici. Lorsque le serveur CAS est revenu au client, l'URL de la page était http://client/login?ticket=xxxxx, et le client utilisé Lorsque le ticket échange des informations utilisateur avec le serveur, il doit également apporter l'adresse de rappel (service) lors de la demande de ticket. Le serveur vérifiera si le ticket et le service sont cohérents, ainsi que le service lors de la demande. car le ticket doit être <code>http://client/ login, nous devons donc supprimer le paramètre ticket dans l'url. 🎜rrreee🎜getUrlWithoutTicket La fonction est la suivante : 🎜rrreee🎜Piège de session🎜🎜C'est un piège de combinaison phpCAS + Laravel, qui vous fait perdre votre sang-froid. 🎜🎜PHP utilise par défaut la méthode de stockage de session sous forme de fichier, donc un point très important lors de la conversion d'une seule machine en plusieurs machines est de gérer le partage de session. La solution est également très simple, qui consiste à changer la méthode de stockage de session de fichier en redis/memecache/database, etc. 🎜🎜Laravel fournit ces pilotes par défaut, j'ai donc modifié avec enthousiasme le fichier .env et remplacé SESSION_DRIVER par redis. Je l'ai essayé en ligne et j'ai constaté que cela ne fonctionnait pas. Les modifications apportées par phpCAS à la variable $_SESSION n'ont pas été écrites dans Redis. 🎜🎜J'ai donc suivi l'implémentation de la session de Laravel et j'ai découvert que ce n'était pas l'utilisation imaginée de session_set_save_handler pour enregistrer la logique de lecture et d'écriture de la session. En d'autres termes, la session de Laravel n'a pas réellement modifié le $ de PHP. La logique de lecture et d'écriture de _SESSION. , exploite directement $_SESSION ou suit le comportement par défaut (lecture et écriture de fichiers locaux). 🎜🎜Eh bien, heureusement, plusieurs SessionDrivers dans Laravel ont implémenté l'interface SessionHandlerInterface Nous pouvons appeler nous-mêmes session_set_save_handler : 🎜rrreee🎜Je ne m'attendais pas à une erreur ! 🎜rrreee🎜J'ai recherché le code Laravel et découvert que la méthode write de la classe parent du pilote Redis IlluminateSessionCacheBasedSessionHandler renvoyait void. J'ai donc soumis un PR pour le réparer, mais je ne m'attendais pas à ce qu'il soit rejeté. Il s'est avéré que quelqu'un l'avait déjà corrigé, puis l'avait annulé, en disant que cela bloquerait le serveur. Je ne trouve pas le problème spécifique. 🎜🎜Eh bien, memcache et redis héritent tous deux de cette classe parent, je vais donc devoir essayer la base de données à la place. 🎜🎜Cette fois, session_write_close ne signale pas d'erreur, mais il y a toujours un problème avec la connexion CAS, et il continue de sauter entre le serveur CAS et l'URL de rappel. J'ai donc recherché tous les journaux et codes et découvert que la méthode destroy de la classe du pilote de base de données IlluminateSessionDatabaseSessionHandler ne remplaçait pas $this->exists après avoir détruit la session. L'attribut est marqué comme false, et phpCAS a une logique de renameSession🎜rrreee🎜La conséquence est que $_SESSION = $old_session; correspond au fonctionnement de la table de session SQL exécute une mise à jour au lieu d'une insertion, ce qui signifie que les données de session ne peuvent pas être écrites dans la table de session ! 🎜🎜Il n'y a vraiment pas d'autre moyen que d'écrire un Session Wrapper pour le gérer. 🎜🎜Parmi les deux situations ci-dessus, le pilote Redis est plus facile à gérer, à condition qu'il puisse renvoyer true lors de l'appel de la méthode d'écriture. Le code est donc le suivant 🎜rrreee🎜 puis appelle <code>session_set_save_handler pour devenir 🎜rrreee🎜Terminé ! 🎜🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!