>PHP 프레임워크 >Laravel >피트에서의 공유: phpCAS의 Laravel 통합 프로세스

피트에서의 공유: phpCAS의 Laravel 통합 프로세스

藏色散人
藏色散人앞으로
2021-09-19 16:53:491854검색

다음 튜토리얼 칼럼은 Laravel에서 Laravel 통합 phpCAS의 함정을 알려드릴 것입니다. 이것이 필요한 친구들에게 도움이 되기를 바랍니다!

Laravel은 phpCAS를 통합합니다.

CAS는 현재 널리 사용되는 SSO(Single Sign-On) 프로토콜입니다. 공식에서는 클라이언트 측 phpCAS의 PHP 버전을 제공합니다. 지금까지 해당 코딩 스타일은 네임스페이스에서도 여전히 PEAR 시대에 머물러 있습니다. 아무것도 사용되지 않습니다. 다행스럽게도 phpCAS는 Composer 소개를 지원하여 여러 Laravel 프로젝트 소개를 문제 없이 수행했습니다. 그러나 지난 이틀 동안 프로젝트를 단일 머신 배포에서 다중 머신 배포로 변경해야 한다고는 예상하지 못했습니다. 여기에 몇 가지 함정을 기록하겠습니다.

콜백 피트

인증을 위해 CAS 서버로 점프한 결과 수신 콜백 주소가 포트 8080으로 추가된 것으로 확인되었습니다. 다중 시스템 배포이기 때문에 액세스 요청은 먼저 로드 밸런서(Alibaba Cloud SLB)를 통과한 후 웹 서버에 도달하며 이 8080은 웹 서버의 수신 포트입니다.

그래서 콜백 주소를 생성하기 위해 phpCAS의 로직을 추적한 결과 다음 코드를 발견했습니다.

if (empty($_SERVER['HTTP_X_FORWARDED_PORT'])) {
    $server_port = $_SERVER['SERVER_PORT'];
} else {
    $ports = explode(',', $_SERVER['HTTP_X_FORWARDED_PORT']);
    $server_port = $ports[0];
}

Alibaba Cloud의 SLB는 X-FORWARDED-PORT http 헤더를 백엔드 서버에 전달하지 않습니다. 따라서 phpCAS는 nginx의 포트 8080인 $_SERVER['SERVER_PORT']를 가져옵니다. X-FORWARDED-PORT 这个 http 头,因此 phpCAS 就会拿到 $_SERVER['SERVER_PORT'] 也就是 nginx 的端口8080。

好在 phpCAS 提供了 setFixedServiceURL 函数,可以让我们手动去设定回调地址:

phpCAS::setFixedServiceURL($request->url());

这下回调地址正常了,但是从 CAS Server 返回到 client 端时被告知 ticket 无效。

继续查日志和代码,发现这里是自己疏忽了,当 CAS Server 返回到 client 端时页面的 url 是 http://client/login?ticket=xxxxx,而 client 端使用 ticket 向 server 换取用户信息时还需要带上申请该 ticket 时的回调地址(service),server 端会校验 ticket 和 service 是否一致,而申请 ticket 时的 service 应该是 http://client/login,因此我们需要把 url 里的 ticket 参数去掉。

phpCAS::setFixedServiceURL($this->getUrlWithoutTicket($request));

getUrlWithoutTicket 函数如下:

private function getUrlWithoutTicket(Request $request)
{
    $query = parse_query($request->getQueryString());
    unset($query['ticket']);
    $question = $request->getBaseUrl().$request->getPathInfo() == '/' ? '/?' : '?';

    return $query ? $request->url().$question.http_build_query($query) : $request->url();
}

Session 坑

这是一个 phpCAS + Laravel 的组合坑,坑得死去活来没脾气。

PHP 默认是 Session 存储方式是文件,因此单机变多机一个很重要的点就是处理 Session 共享。方案也很简单,就是把 Session 存储方式从文件改成 redis/memecache/database 等。

Laravel 默认提供了这些 driver,于是兴冲冲地改了下 .env 文件,把 SESSION_DRIVER 改成 redis。拉到线上一试,发现不行,phpCAS 对 $_SESSION 变量的变更并没有被写到 redis 里,怎么回事!

于是追了一下 Laravel 的 Session 实现,发现并不是想象中的使用 session_set_save_handler 来注册 Session 读写逻辑,也就是说 Laravel 的 Session 其实并没有修改 php 的 $_SESSION 的读写逻辑,直接操作 $_SESSION 还是走的默认行为(读写本地文件)。

那好吧,好在 Laravel 的几个 SessionDriver 都实现了 SessionHandlerInterface 接口,我们可以自己调用一下 session_set_save_handler

session_set_save_handler(app(StartSession::class)->getSession($request)->getHandler());

万万没想到报错!

session_write_close(): Session callback expects true/false return value

追了一下 Laravel 的代码,发现 redis driver 的父类 IlluminateSessionCacheBasedSessionHandlerwrite 方法返回的是 void。于是提了一个 PR 打算修一下,没想到被拒绝,原来是之前有人修过又被 revert 了,说是会导致服务器卡住,然而我并没有找到具体的 issue。

那好吧,memcache 和 redis 都是继承的这个父类,那我就换只好 database 试试看。

这回 session_write_close 不报错了,但是 CAS 登录还是有问题,不断在 CAS server 和回调 url 之间跳转。于是又追了一路 log 和代码,发现 database driver 类 IlluminateSessionDatabaseSessionHandlerdestroy 方法在销毁 Session 之后没有将 $this->exists 属性标记为 false,而 phpCAS 有一处逻辑是 renameSession

$old_session = $_SESSION;
session_destroy();
$session_id = preg_replace('/[^a-zA-Z0-9\-]/', '', $ticket);
session_id($session_id);
session_start();
$_SESSION = $old_session;

后果就是 $_SESSION = $old_session;  所对应操作 session 表的 sql 执行的是 update 而不是 insert,也就是没能将 session 数据写入 session 表!

实在没有办法了,只能自己写一个 Session Wrapper 来处理。

从上面两个情况来看,redis driver 比较好处理,只要能在调用 write 方法时返回 true 就可以了。所以代码如下

namespace App\Services;

use SessionHandlerInterface;

class MySession implements SessionHandlerInterface
{
    /**
     * @var SessionHandlerInterface
     */
    protected $realHdl;

    /**
     * Session constructor.
     * @param SessionHandlerInterface $realHdl
     */
    public function __construct(SessionHandlerInterface $realHdl)
    {
        $this->realHdl = $realHdl;
    }

    public function close()
    {
        return $this->realHdl->close();
    }

    public function destroy($session_id)
    {
        return $this->realHdl->destroy($session_id);
    }

    public function gc($maxlifetime)
    {
        return $this->realHdl->gc($maxlifetime);
    }

    public function open($save_path, $name)
    {
        return $this->realHdl->open($save_path, $name);
    }

    public function read($session_id)
    {
        return $this->realHdl->read($session_id) ?: '';
    }

    public function write($session_id, $session_data)
    {
        $this->realHdl->write($session_id, $session_data);

        return true; // 这里
    }
}

然后调用 session_set_save_handler

다행히도 phpCAS는 콜백 주소를 수동으로 설정할 수 있는 setFixedServiceURL 함수를 제공합니다.

session_set_save_handler(new MySession(app(StartSession::class)->getSession($request)->getHandler()));
콜백 주소는 현재 정상이지만 CAS 서버에서 클라이언트로 돌아올 때 우리는 티켓이 유효하지 않다고 말했습니다.
🎜계속해서 로그와 코드를 확인해 보니 여기서 제가 부주의했다는 걸 알게 되었습니다. CAS 서버가 클라이언트로 돌아왔을 때 해당 페이지의 URL은 http://client/login?ticket=xxxxx였습니다. > 및 클라이언트가 사용하는 티켓이 서버와 사용자 정보를 교환할 때 티켓 신청 시 콜백 주소(서비스)도 가져와야 합니다. 서버는 티켓과 서비스가 일치하는지, 신청 시 서비스를 확인합니다. 티켓의 경우 http://client/login이어야 하므로 URL에서 티켓 매개변수를 제거해야 합니다. 🎜rrreee🎜getUrlWithoutTicket 함수는 다음과 같습니다. 🎜rrreee🎜Session 함정🎜🎜이것은 phpCAS + Laravel의 조합 함정으로 화를 냅니다. 🎜🎜PHP는 기본적으로 세션 저장 방식을 파일로 설정하고 있으므로 단일 머신을 여러 머신으로 변환할 때 매우 중요한 점은 세션 공유를 처리하는 것입니다. 해결책도 매우 간단합니다. 즉, 세션 저장 방법을 파일에서 redis/memecache/database 등으로 변경하는 것입니다. 🎜🎜Laravel은 기본적으로 이러한 드라이버를 제공하므로 .env 파일을 신나게 변경하고 SESSION_DRIVERredis로 변경했습니다. 온라인으로 시도했지만 작동하지 않는 것으로 나타났습니다. $_SESSION 변수에 대한 phpCAS 변경 사항이 redis에 기록되지 않았습니다. 🎜🎜그래서 Laravel의 Session 구현을 추적한 결과 Session 읽기 및 쓰기 로직을 ​​등록하기 위해 session_set_save_handler를 사용한다고 상상한 것이 아니라는 사실을 발견했습니다. 즉, Laravel의 Session은 실제로 PHP의 $_SESSION을 수정하지 않았습니다. . 의 읽기 및 쓰기 논리를 사용하려면 $_SESSION을 직접 작동하거나 기본 동작(로컬 파일 읽기 및 쓰기)을 따르세요. 🎜🎜다행히도 Laravel의 여러 SessionDriver는 SessionHandlerInterface 인터페이스를 구현했습니다. 우리는 session_set_save_handler를 직접 호출할 수 있습니다. 🎜rrreee🎜나는 결코 오류를 예상하지 못했습니다! 🎜rrreee🎜Laravel 코드를 추적하여 Redis 드라이버의 상위 클래스 IlluminateSessionCacheBasedSessionHandlerwrite 메서드가 void를 반환한 것을 발견했습니다. 그래서 수정하려고 PR을 제출했는데 거절될 줄은 몰랐습니다. 알고 보니 누군가가 이전에 수정했다가 서버가 막힐 것 같다며 되돌려 놓은 것이었습니다. 구체적인 문제를 찾을 수 없습니다. 🎜🎜글쎄, memcache와 redis는 모두 이 상위 클래스를 상속하므로 대신 데이터베이스를 사용해 봐야 할 것입니다. 🎜🎜이번 session_write_close에서는 오류를 보고하지 않지만 여전히 CAS 로그인에 문제가 있고 CAS 서버와 콜백 URL 사이를 계속 점프합니다. 그래서 모든 로그와 코드를 추적한 결과 데이터베이스 드라이버 클래스 IlluminateSessionDatabaseSessionHandlerdestroy 메서드가 $this->exists를 대체하지 않는다는 것을 발견했습니다. 세션을 삭제한 후 속성은 false로 표시되고 phpCAS에는 renameSession🎜rrreee🎜 논리가 있습니다. 결과는 $_SESSION = $old_session;는 세션 테이블의 작업에 해당합니다. SQL은 삽입 대신 업데이트를 실행합니다. 이는 세션 데이터를 세션 테이블에 쓸 수 없음을 의미합니다! 🎜🎜이를 처리하기 위해 세션 래퍼를 작성하는 것 외에는 실제로 다른 방법이 없습니다. 🎜🎜위의 두 가지 상황에서 write 메소드를 호출할 때 true를 반환할 수 있는 한 redis 드라이버는 처리하기가 더 쉽습니다. 따라서 코드는 다음과 같습니다 🎜rrreee🎜 그런 다음 <code>session_set_save_handler를 호출하여 🎜rrreee🎜완료됩니다! 🎜🎜

위 내용은 피트에서의 공유: phpCAS의 Laravel 통합 프로세스의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 segmentfault.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제