先說一下這樣做的好處吧,先來三個屌絲域名:
www.openpoor.com
myspace.openpoor.com
passport.openpoor.com
大家都知道,雖然他們都是一個域名但主機名不同,依然不能共享cookie(沒有設置到域名.openpoor.com),這就導致用戶在這些域名之間切換的時候需要重新登錄,這是不能忍受的,所以需要同步登錄;
先來討論一下爲什麼要多個域名吧,我認爲應該有一下幾個好處;
- 功能明確;
- 主機名也等於一個參數,在當前restfull,短鏈接盛行的情況下,還是很有用的;
- 便於負載均衡,功能分配;
對於第三點在一些複雜業務邏輯下是非常有用的,當某些功能只能負載到一些特定的主機上時,例如靜態文件,大量存儲的圖片,特別是及時生成的文件等等;
進入正題,能夠同步登錄,就需要讓用戶的瀏覽器記錄每個域名的cookie,那麼必須要讓瀏覽器請求一次這些主機,方法很簡單在頁面中加入其他域名的鏈接如<script type="text/javascript" src="http://otherdomain"></script>一些瀏覽器默認不接受第三方的cookie寫入,必須添加P3P HTTP header 來嘗試(當然並不一定有效);
我簡單做了一個demo,加密使用des;編輯/etc/hosts文件添加
127.0.0.1 passport.openpoor.com
127.0.0.1 www.openpoor.com
127.0.0.1 myspace.openpoor.com
passport.openpoor.com主要做的事情就是通知其實主機寫入cookie;
首先是index.php
<?php
session_start();
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>sync login</title>
</head>
<body>
<?php if(empty($_SESSION['username'])):?>
hello,遊客;請先<a href="login.php">登錄</a>
<?php else: ?>
hello,<?php echo $_SESSION['username']; ?>;<a href="http://myspace.openpoor.com/synclogin/index.php">進入空間</a>
<?php endif; ?>
<a href="http://www.openpoor.com/synclogin/index.php">home</a>
</body>
</html>
然後是login.php
<?php
session_start();
if(!empty($_POST['username'])){
require __DIR__.'/Des.php';
$_SESSION['username'] = $_POST['username'];
$redirect = 'http://www.openpoor.com/synclogin/index.php';
header('Location:http://passport.openpoor.com/synclogin/sync.php?redirect='.urlencode($redirect).'&code='.Des::encrypt($_POST['username'],'openpoor'));exit;
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<title>sync login</title>
</head>
<body>
<form action="" method="post">
<input type="text" name="username" placeholder="用戶名"/>
<input type="text" name="password" placeholder="密碼"/>
<input type="submit" value="登錄"/>
</form>
</body>
</html>
這裏沒有做什麼檢查,用戶登錄成功之後,跳轉http://passport.openpoor.com/synclogin/sync.php需要什麼信息就可以自己添加,這裏僅僅傳遞加密後的用戶名(這裏的加密是必須的,https就不說了);
在來看看sync.php做了什麼
<?php
$redirect = empty($_GET['redirect']) ? 'www.openpoor.com' : $_GET['redirect'];
if(empty($_GET['code'])){
header('Loaction:http://'.urldecode($redirect));
exit;
}
$apps = array(
'myspace.openpoor.com/synclogin/slogin.php'
);
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"/>
<?php foreach($apps as $v): ?>
<script type="text/javascript" src="http://<?php echo $v.'?code='.$_GET['code'] ?>"></script>
<?php endforeach; ?>
<title>passport</title>
</head>
<body>
<script type="text/javascript">
window.onload=function(){
location.replace('<?php echo $redirect; ?>');
}
</script>
</body>
</html>
最後一個slogin.php是每個需要同步登錄的域名都需要的用戶寫入cookie;
<?php
session_start();
header('Content-Type:text/javascript; charset=utf-8');
if(!empty($_GET['code'])){
require __DIR__.'/Des.php';
$username = Des::decrypt($_GET['code'],'openpoor');
if(!empty($username)){
header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');
$_SESSION['username'] = $username;
}
}
echo "function _(){window.status='ok';}";//這裏只是隨便返回
最後也分享一下Des.php雖說現在Aes纔是最安全的,這裏只是簡單說明一下;
<?php
/**
*@see Yii CSecurityManager;
*/
class Des{
public static function encrypt($data,$key){
$module=mcrypt_module_open('des','', MCRYPT_MODE_CBC,'');
$key=substr(md5($key),0,mcrypt_enc_get_key_size($module));
srand();
$iv=mcrypt_create_iv(mcrypt_enc_get_iv_size($module), MCRYPT_RAND);
mcrypt_generic_init($module,$key,$iv);
$encrypted=$iv.mcrypt_generic($module,$data);
mcrypt_generic_deinit($module);
mcrypt_module_close($module);
return md5($data).'_'.base64_encode($encrypted);
}
public static function decrypt($data,$key){
$_data = explode('_',$data,2);
if(count($_data)<2){
return false;
}
$data = base64_decode($_data[1]);
$module=mcrypt_module_open('des','', MCRYPT_MODE_CBC,'');
$key=substr(md5($key),0,mcrypt_enc_get_key_size($module));
$ivSize=mcrypt_enc_get_iv_size($module);
$iv=substr($data,0,$ivSize);
mcrypt_generic_init($module,$key,$iv);
$decrypted=mdecrypt_generic($module,substr($data,$ivSize,strlen($data)));
mcrypt_generic_deinit($module);
mcrypt_module_close($module);
$decrypted = rtrim($decrypted,"\0");
if($_data[0]!=md5($decrypted)){
return false;
}
return $decrypted;
}
}
有什麼不足之處,還望斧正,我在ubuntu下測試可以,chromium瀏覽器;ucenter實現原理基本就是這樣,我參考了一下,呵呵
PS:這種做法在域名過多之後登陸效率會明顯下降,如果是同一個域名(如openpoor.com)則不需要以上方法,上面的幾個測試域名其實是不需要這樣做的,只需要在寫入cookie時指定domain即可,當然多個主機(如w1.openpoor.com,w2.openpoor.com)需要擁有相同的cookie驗證策略