Plik cookie dostępny na wielu stronach

0

Witam serdecznie!

Tworzę sobie stronę która jest na kilku różnych subdomenach (np. str1.strona.pl, str2.strona.pl itd.) i chciałbym aby po zalogowaniu się na jednej z tych stron użytkownik był zalogowany także na innych a obecnie tak nie jest, gdyż sesja działa tylko na jednej subdomenie i właśnie teraz nie bardzo wiem co zrobić. Można jakoś ustawić na jakich stronach ma być dostępne cookie/sesja? A może lepiej utworzyć sesję tylko dla jednej z tych stron a potem jakoś sprawdzać z poziomu innych stron czy sesja ta istnieje na tej pierwszej stronie? Tylko że nie bardzo wiem jak to sprawdzić...
Będę wdzięczny za pomoc bo nie bardzo wiem jak rozwiązać mój problem.

Z góry dziękuję!

1

Zrób sobie coś takiego, że:

  1. subdomena nie widzi sesji -> robi przekierowanie na domenę właściwą podając w parametrze jakieś ID domeny (broń boże domenę tekstem!), do jakiegoś osobnego pliku php (żeby nie ładować całej strony tam)
  2. w tym skrypcie sprawdzasz czy masz sesję, jeżeli nie - robisz przekierowanie z powrotem do subdomeny (wg podanego ID) podając odpowiedź o braku sesji, jeżeli jest sesja - zwracasz do subdomeny (kolejny "specjalny" plik php) id sesji, tam sesja jest tworzona o tej samej nazwie (z tego co kojarzę wtedy wszystkie zmienne z sesji będą widoczne - coś w rodzaju takich działań może być używane w atakach na shared hostingach) i wszystko gra
    2a) subdomena jeżeli odbierze brak sesji - znowu powinna po utworzeniu sesji zwrócić tę informację do domeny głównej. ew w przypadku braku sesji niech domena główna tworzy nową sesję i tak jak w przypadku już istniejącej sesji - zwraca subdomenie id

Dlaczego nie podawać tekstem domeny? Ano, żeby ktoś nie skierował użytkownika na np.
http://domena.pl/testsesji.php?domenapowrotu=stronahackera.pl gdzie zostanie wykradzione ID sesji, bo Twój skrypt radośnie pokieruje to ID na stronahackera.pl

0

Ok dzięki zaraz będę coś kombinował tylko że za każdym załadowaniem strony na subdomenie musi się ona połączyć ze stroną główną i sprawdzić czy czasem użytkownik się nie wylogował lub nie zrobił czegoś innego więc jest to trochę kłopotliwe...
A nie wiecie może jak to jest np. na Google? Tam też wystarczy się raz zalogować i mamy dostęp do wszystkich usług Google'a.

1

Użyj funkcji: http://php.net/manual/en/function.session-set-cookie-params.php i ustaw odpowiednią domenę dla ciastka sesyjnego.

Aby ciastko było dostepne na wielu subdomenach w ramach danej domeny, musi być ustawione na domenę ".<domena>.pl" (kropka na początku jest kluczowa).

Na stronie do której podałem link w szczególności znajduje się zdanie:
"Cookie domain, for example 'www.php.net'. To make cookies visible on all subdomains then the domain must be prefixed with a dot like '.php.net'."

Potestuj natomiast kwestię kasowania tego ciastka ( o ile widzisz taką potrzebę ). Nie jestem pewien czy subdomeny mogą modyfikować ciastko (np. je przedłużyć lub skasować).

Edit: W sensie, przedłużenie ciastka to w sumie ustawienie nowego... więc raczej może być problem ustawieniem ciastka na wszystkie subdomeny z poziomu subdomeny.

0

Dobra dzięki wszystkim ;) Użyłem session_set_cookie_params i jest w porządku tylko że trzeba podać czas przez jaki sesja ma być aktywna a ja chciałbym żeby sesja kończyła się automatycznie przy zamknięciu przeglądarki, tak jak było bez tego parametru. Można jakoś ominąć pierwszy parametr lub podać taką wartość aby nie był on brany pod uwagę?

1

Sądzę, że ciastko sesyjne kończy się po zamknięciu przeglądarki (zresztą, przeglądarka powinna Ci pokazać listę ciastek i pokazać czy to sesyjne) - parametr lifetime jest "ekstra" do zakończenia sesji wcześniej (wydłużyć raczej nie wydłużysz tym ponad domyślny limit, bo długość życia sesji zależy od innych rzeczy jeszcze). Ty nie chcesz tego robić, więc podajesz 0. Sprawdź, potem odpisuj ;)

1 użytkowników online, w tym zalogowanych: 0, gości: 1