Yii2 中关于cookie使用遇到的问题

关于 Yii2这里我就不介绍,主要讲的是cookie的使用及遇到的一些问题

客户端与服务器通信,这是一个requestresponse的过程。在Yii2中分别有yii\web\Request.phpyii\web\Response.php 来处理。

其中request处理cookie的逻辑是:

<?php
protected function loadCookies()
{
    $cookies = [];
    if ($this->enableCookieValidation) {
        if ($this->cookieValidationKey == '') {
            throw new InvalidConfigException(get_class($this) . '::cookieValidationKey must be configured with a secret key.');
        }
        foreach ($_COOKIE as $name => $value) {
            if (is_string($value) && ($value = Yii::$app->getSecurity()->validateData($value, $this->cookieValidationKey)) !== false) {
                $cookies[$name] = new Cookie([
                    'name' => $name,
                    'value' => @unserialize($value),
                    'expire'=> null
                ]);
            }
        }
    } else {
        foreach ($_COOKIE as $name => $value) {
            $cookies[$name] = new Cookie([
                'name' => $name,
                'value' => $value,
                'expire'=> null
            ]);
        }
    }

    return $cookies;
}

这里requestPHP的全局变量$_COOKIE中获取客户端传的cookie, 构造yii\web\Cookie对象,而这个对象只有name和value属性赋值了

response中处理cookie的逻辑是:

首先通过Yii::$app->response->cookies 调用yii\web\CookieCollection.php:

<?php

public function getCookies()
{
    if ($this->_cookies === null) {
        $this->_cookies = new CookieCollection;
    }
    return $this->_cookies;
}

不论是新增,还是删除,修改cookie,都是通过将cookie赋值给Yii::$app->response->cookies

最后response通过sendCookies()返回给客户端:

<?php
protected function sendCookies()
{
    if ($this->_cookies === null) {
        return;
    }
    $request = Yii::$app->getRequest();
    if ($request->enableCookieValidation) {
        if ($request->cookieValidationKey == '') {
            throw new InvalidConfigException(get_class($request) . '::cookieValidationKey must be configured with a secret key.');
        }
        $validationKey = $request->cookieValidationKey;
    }
    foreach ($this->getCookies() as $cookie) {
        $value = $cookie->value;
        if ($cookie->expire != 1  && isset($validationKey)) {
            $value = Yii::$app->getSecurity()->hashData(serialize($value), $validationKey);
        }
        setcookie($cookie->name, $value, $cookie->expire, $cookie->path, $cookie->domain, $cookie->secure, $cookie->httpOnly);
    }
    $this->getCookies()->removeAll();
}

默认的我们的cookie是写到当前域名下面的, 对于一般场景这是没问题的。当时对于前后端分离的应用,尤其是前后端域名不一致的场景,就会出现问题。

假定现在有一个应用采用前后端分离的架构,前端域名为: mike.com, 后端域名为: api.mike.com. 后端使用cookie 存储用户名:

{
    "name": "user_name",
    "value": "mike",
    "domain": ".mike.com",
    "path": "/"
}

http://php.net/manual/zh/function.setcookie.php

前台登录,调用API http://api.mike.com/site/login, 后台代码:

<?php

public function actionLogin()
{
      // validate username and passwd
      // set cookie

      $cookie = new yii\web\Cookie();
      $cookie->name = 'user_name';
      $cookie->value = 'mike';
      $cookie->domain = 'mike.com';
      // 注意这里的domain不能不填,否则会使用api.mike.com, 这样mike.com就不会拿到cookie
      Yii::$app->response->cookies->add($cookie);
}

当前台退出登录,调用API http://api.mike.com/site/logout 清除cookie, 后台代码如下:

<?php

public function actionLogout()
{
    Yii::$app->response->cookies->remove('user_name');
}

你以为你清除了cookie user_name, 然而并不是这样, 你可以通过chrome浏览器F12Application中查看当前域名下面存在的cookie

为什么会不会删除呢? 让我们先看看reomve的逻辑:

<?php

public function remove($cookie, $removeFromBrowser = true)
{
    if ($this->readOnly) {
        throw new InvalidCallException('The cookie collection is read only.');
    }
    if ($cookie instanceof Cookie) {
        $cookie->expire = 1;
        $cookie->value = '';
    } else {
        $cookie = new Cookie([
            'name' => $cookie,
            'expire' => 1,
        ]);
    }
    if ($removeFromBrowser) {
        $this->_cookies[$cookie->name] = $cookie;
    } else {
        unset($this->_cookies[$cookie->name]);
    }
}

如果传的不是一个Cookie对象,那么会构造一个Cookie对象,设置expire, 添加到response中,服务器收到一个expire = 1cookie, 就会从本地删除,之后的请求就不会带这个name的cookie了。问题在于重新构造的cookie没有指定domain, 那么就会用当前域名api.mike.com; 可是login写的cookie domain为mike.com, 虽然name相同,都是user_name, 但是domain不同,浏览器不认为是一个cookie, 所以login写入的cookie不会被删除,

改进后的代码:

<?php

public function actionLogout()
{
    $cookie = new yii\web\Cookie();
    $cookie->domain = 'mike.com';
    $cookie->name = 'user_name';
    Yii::$app->response->cookies->remove($cookie);
}

其实不仅remove, 去更新cookie的时候也是会存在这个问题的。

<?php

//错误做法
$cookie = Yii::$app->request->cookies->get('user_name');
$cookie->expire = 60 * 60 * 24;     // 更新cookie过期时间
Yii::$app->response->cookies->add($cookie);

// 这种做法也会存在两个同名的cookie
// 一个domain为: api.mike.com; 一个为: mike.com

//正确做法
$cookie = Yii::$app->request->cookies->get('user_name');
$cookie->expire = 60 * 60 * 24;     // 更新cookie过期时间
$cookie->domain = 'mike.com';
Yii::$app->response->cookies->add($cookie);

需要注意的是Yii2从request里面获取的cookie对象只有name,value属性值,如果domain不是当前域,那么需要重新指定

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,133评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,682评论 3 390
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,784评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,508评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,603评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,607评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,604评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,359评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,805评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,121评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,280评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,959评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,588评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,206评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,193评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,144评论 2 352

推荐阅读更多精彩内容