我正在使用PhalconPHP,并试图实现身份验证服务。我的前端是一个 AngularJS 5 应用程序,它利用子域上的此服务。(我的前端在 www.MyWebsite.com 找到,我的服务在 service.MyWebsite.com 找到(到目前为止,我已经实现了以下方法来启动我的会话。
$di->setShared('session', function () {
$session = new Session();
$session->start();
return $session;
});
然后,当用户将用户名/密码发布到服务时,我调用我的loginUser方法
public function loginUser(array $userData){
$username = $userData['username'];
$password = $userData['password'];
$user = Users::findFirst(
[
'conditions' => '(username = :username:) AND password = :password:',
'bind' => [
'username' => $username,
'password' => $password,
],
'columns' => ['users_id AS id, first, last, username, email']
]
);
$this->_registerSession($user);
return $user->toArray();
}
用户尝试登录后,我使用_registerSession($user)方法将用户名和用户 ID 存储到会话中。
private function _registerSession($user){
$this->session->set(
"auth",
[
"id" => $user->id,
"username" => $user->username,
]
);
}
此时,用户能够成功登录,因为我能够返回用户 ID、名字和姓氏、用户名和电子邮件,以及存储在我的会话auth配置中的用户名和密码。
我遇到的问题是,当我刷新页面时,用户被注销。
我想到的第一件事是,由于我的 Angular 应用程序是 SPA,因此刷新页面将删除我设置为存储当前用户信息的当前全局变量。因此,为了解决这个问题,我认为我需要根据会话从服务器重新提取信息。
因此,我实现了一种getCurrentUser()
public function getCurrentUser(){
$id = $this->session->auth["id"];
if($id == null){
return null;
}
$user = Users::findFirst(
[
'conditions' => 'users_id = :id:',
'bind' => [
'id' => $id,
],
'columns' => "users_id AS id, first, last, username, email",
]
);
$this->_registerSession($user);
return $user->toArray();
}
当我使用 Postman 对此进行测试时,我能够发布到登录端点,然后在接下来的 30 分钟内的任何时间,如果我调用getCurrentUser,我最终会恢复我的值。
但是当我尝试在 AngularJS 应用程序中执行此操作时,我总是在$id上得到一个空值,这告诉我它无法拉取/看不到会话变量中的auth。
我已经验证了在 cookie 中设置的 PHPSESSIONID 没有改变,所以会话 ID 应该仍然相同......那么,为什么它不能从 Angular 应用程序中的现有会话中提取该 ID,但当我直接从 Postman 拨打电话时它可以?
编辑有人提到这可能是由于 CORS。他们删除了他们的答案,但只是为了显示我的设置,这是我附加某些标头的索引文件
if (isset($_SERVER['HTTP_ORIGIN'])) {
// Decide if the origin in $_SERVER['HTTP_ORIGIN'] is one
// you want to allow, and if so:
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400'); // cache for 1 day
}
// Access-Control headers are received during OPTIONS requests
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD']))
// may also be using PUT, PATCH, HEAD etc
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']))
header("Access-Control-Allow-Headers:{$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
exit(0);
}
它可能仍然与CORS有关,但根据我有限的知识,我认为情况并非如此。
你确定angular 5正在向withCredentials: true发出请求吗?
首先尝试获取会话 ID: 在getCurrentUser()使用:
$id = $this->session->get('auth');
if (isset($id['id'])) {
$user = ...
此外,在loginUser不要忘记将username绑定为电子邮件参数。