Ir para conteúdo
Master_Cyber

Compartilhar session entre subdomínios

Recommended Posts

Bom dia galera,

 

estou trabalhando em um projeto que consiste em dois sistemas, um em PHP/Ajax e o outro em Angular 5, ambos fazem requisição em um webservice (Apigility). O banco é postgres.

 

A questão é que quando a pessoa logar na tela de login sistema PHP, ele automaticamente logue no sistema Angular, que basicamente a "session" é guardada no localstorage.

 

Então pensei em trabalhar com session para compartilhar token e dados do usuário.

 

O problema é que não consigo compartilhar a mesma session entre o sistema e o webservice, nem o localstorage é compartilhado.

 

Estou bastante confuso como resolver isso..

 

Pensei em colocar os dados da session no banco de dados também.

 

Podem me ajudar? Dar outras soluções?

 

Obrigado.

 

OBS: Todos os sistemas (api, sistema php e angular) envolvidos estão no mesmo servidor, mas em subdomínios diferentes.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Como funcionaria essa sessão no banco?

 

Eu guardaria a session_id no banco, mas no outro sistema, a session_id já é outra...

 

Como eu localizo o registro do cara?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @Master_Cyber, tranquilo?

 

Como você está lidando com API REST e SPA, o mais apropriado seria manter as requisições à sua API independentes de estado (stateless). E isso você consegue abrindo mão do uso de sessions/cookies. Esse é definitivamente o caminho mais apropriado para o seu caso.

Nesse caso você deveria implementar um processo de autenticação baseado em OAuth / OAuth2 e similares ou JWT token.

 

Bom, antes de qualquer coisa, qual é a diferença entre uma mecânica e outra?

1 - Com sessões/cookies você precisa armazenar as informações relacionadas a cada sessão dos usuários em arquivos separados no servidor (e no cliente também). Quando você lida com instâncias (máquinas) únicas de servidores isso é simples: as sessões ficam por padrão na pasta /tmp (em servidores Linux), mas isso varia da configuração da sua hospedagem.

 

Quando a demanda de sua aplicação cresce, você precisa escalar essas sessões, ou seja, torná-las acessíveis em mais de uma máquina, para que as requisições podem ser respondidas regularmente, independente de qual máquina é requisitada.

Outro cenário é o que você está passando, onde duas aplicações distintas precisam ter conhecimento sobre as sessões dos usuários.

 

Como resolver isso utilizando sessões? Bom, para o primeiro caso (escalabilidade) existem sticky sessions, mas não é o seu caso e não é a melhor solução de qualquer forma.

Você também pode simplesmente inserir as sessões em outro lugar (como um banco de dados ou um serviço de cache). E isso é bem simples de ser feito. Veja um exemplo na AWS com DynamoDb. Essa seria uma solução.

 

O problema é que utilizar sessões não é o melhor caminho para SPAs e inclusive nem está documentado pela Apigility que você citou.

 

2 - Com JWT ou OAuth não existe estado, nem sessões, mas existem várias chaves que devem ser trafegadas com o objetivo de autenticar (verificar identidade) e autorizar (verificar permissões/acesso) os usuários.

Após o processo de login, o usuário terá uma chave, que deve ser armazenado pela sua SPA em localStorage (ou outra forma) e enviado em toda e qualquer requisição que exija acesso privilegiado.

Você encontra toda a documentação de como fazer isso aqui (navegue no menu lateral): https://apigility.org/documentation/auth/intro

 

Resumindo: no seu caso, basta estudar e seguir o que é explicado nesse último link para autenticar os usuários.

 

Não quis complicar muito explicando como funcionam as requisições a fundo (especificações HTTP e cada etapa de ambos os processos), mas caso queira se aprofundar mais, esse material é excelente: https://ponyfoo.com/articles/json-web-tokens-vs-session-cookies

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nossa cara, muito obrigado pela explicação... Me ajudou muito, vou estudar a melhor solução para minha situação..

 

Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por diogoglobaltec
      criei um formulário dinamico e gostaria de enviar para o arquivo rec.php, os aquivos adicionados pelo no formato file , já tentei colocar em
       x.setAttribute("enctype" , "multipart/form-data");
      também não funcionou segue o arquivo:
       
      <!DOCTYPE html>
          <html>
              <body>
              
                  
                  
                  <p>Click the button to create a FORM and an INPUT element.</p>
                  <button onclick="myFunction()">Try it</button>
                  <button onclick="enviar()">enviar</button>
          <script>
          function myFunction() {
            var x = document.createElement("FORM");
            x.setAttribute("action", "rec.php");
          x.setAttribute("method", "post");
          x.setAttribute("id", "myForm");
            document.body.appendChild(x);

            var y = document.createElement("INPUT");
            y.setAttribute("type", "file");
            y.setAttribute("name", "arquivo[]");
            document.getElementById("myForm").appendChild(y);
      }
           function enviar(){
              document.forms[0].submit(); 
          
          }
          </script>

              </body>
      </html>
       
      consigo pegar no arquivo rec.php o valor de $_POST , mas de $_FILES não consigo pegar como um array, o que está dando errado ? segue o  script PHP 
       
      Arquivo rec.php
      <?php
      foreach($_POST['arquivo'] as $value) {
              echo $value."<br />";
      }
      foreach($_FILES['arquivo'] as $value) {
                     echo $value['arquivo']['name']."<br />";
      }
       
       
       
       
    • Por ricardo oliveira de jesus
      Pessoal, boa tarde. Tenho uma página que assim que a pessoa digita usuário e senha ela já mostra o respectivo PDF para a pessoa na tela. Só que esses arquivos estão em uma pasta no servidor chamada "arquivos". se eu digitar o endereço do site\arquivos ele me mostra um INDEX contendo todos os arquivos da pasta. Como posso protegê-los? Vou postar o PHP:
       
      <?php
      $login = $_POST['username'];
      $senha = $_POST['pass'];
      $pasta = "arquivos/"; // criei a pasta arquivo na raiz do projeto
      $formato = ".pdf";
      $arquivo = $pasta.$login.$senha.$formato; // endereço completo do arquivo
      if(file_exists($arquivo)){ // se o arquivo existir
          header("Location:".$arquivo);
      }else{
          echo "Arquivo não existe.";
      }
      ?>
       
      Obrigado pela ajuda desde já!
    • Por Jonas Ribeiro Nascimento
      Estou criando meu próprio mvc php para adquirir mais conhecimento.
      Mas estou me deparando com uma coisa muita estranha, eu perco a $_SESSION de uma view para outra view
      Fiz um codigo simples pra testar.a.php ----- view a.php
      <?php session_start(); $_SESSION['teste'] = 'Funcionou'; echo $_SESSION['teste']; ?> <?php session_start(); echo $_SESSION['teste']; // Notice: Undefined variable: _SESSION in var_dump($_SESSION); // Notice: Undefined variable: _SESSION in NULL ?> <?php namespace Sis\Classes; use App\Model\ClassLogin; use Sis\Traits\TraitGetIp; class ClassSession { private $login; private $timeSession = 1200; private $timeCanary = 300; public function __construct(){ if(session_id() == ''){ ini_set("session.save_handler", "files"); //Cabeçalhos somente atraves de arquivos ini_set("session.use_cookies", 1); //Habilita o uso de cookies ini_set("session.use_only_cookies", 1); //Só pode habilitar a seção atraves de coockies ini_set("session.cookie_domain", DOMAIN); //Só aceita coockies vindo do nosso sistema ini_set("session.cookie_httponly", 1); //Só aceita script php e não deixa o javascript alterar o sistema if(DOMAIN != "localhost"){ ini_set("session.cookie_secure", 1); //Para trabalhar com o SSL do servidor ativo } /*Criptografia das nossas sessions*/ ini_set("session.entropy_length", 512); // ini_set("session.entropy_file","/dev/urandom"); ini_set("session.hash_function", "sha256"); ini_set("session.hash_bits_per_character", 5); session_start(); } $this->login = new ClassLogin(); } #Proteger contra roubo de sessão public function setSessionCanary($par=null){ session_regenerate_id(true); if($par == null){ $_SESSION['canary']=[ "birth" => time(), "IP" => TraitGetIp::getUserIp() //Pega o ip do usuario ]; }else{ $_SESSION['canary']['birth']=time(); } } #Verificar a integridade da sessão public function verifyIdSessions(){ if(!isset($_SESSION['canary'])){ $this->setSessionCanary(); } if($_SESSION['canary']['IP'] !== TraitGetIp::getUserIp()){ $this->destructSessions(); $this->setSessionCanary(); } if($_SESSION['canary']['birth'] < time() - $this->timeCanary){ $this->setSessionCanary("Time"); } } #Setar as sessões do nosso sistema public function setSessions($Email){ $this->verifyIdSessions(); $_SESSION['Login'] = true; $_SESSION['Time'] = time(); $_SESSION['Nome'] = $this->login->getIssetSession($Email)['data']['Nome']; $_SESSION['Email'] = $this->login->getIssetSession($Email)['data']['Email']; $_SESSION['Permissoes'] = $this->login->getIssetSession($Email)['data']['Permissoes']; } #Validar as páginas internas do sistema public function verifyInsideSession(){ $this->verifyIdSessions(); if(!isset($_SESSION['Login']) || !isset($_SESSION['Permissoes']) || !isset($_SESSION['canary'])){ $this->destructSessions(); header("Location: ".DIRPAGE."NaoAutorizado"); }else{ if($_SESSION['Time'] >= time() - $this->timeSession){ $_SESSION['Time']=time(); }else{ $this->destructSessions(); header("Location: ".DIRPAGE."NaoAutorizado"); } } } #Destruir as sessions existentes public function destructSessions(){ foreach (array_keys($_SESSION) as $key) { unset($_SESSION[$key]); } } #testar public function testarSessions(){ echo 'oiiiiiiiiiiiiiiiiiiiiiiooooooooooo'; } }

    • Por Allan Carlos dos Santos G
      Bom dia Pessoal, Gostaria de saber como Instalar e colocar pra rodar a versão do Zend PHP 1.11.11, tenho tido dificuldade de achar material na internet e se puderem ajudar, obrigado!
    • Por Perroni91
      Olá pessoal.
      Estou com uma dúvida, mas como sou leiga no mysql, não estou conseguindo resolver.
       
      Tenho duas tabelas no meu banco de dados:
       
      Posts
      id
      titulo_principal
      categoria_id
      imagem
       
      Categorias
      id
      categoria
       
      ---

      Já cadastrei as categorias 'HTML' e 'CSS', e cada um contêm 1 post de cada.

      O que eu gostaria era que: A cada vez que criar um post em alguma dessas categorias, mostrar a quantidade separadamente.

      Ficaria assim:
      HTML               3
      CSS                   1


      Alguém poderia me ajudar, por favor?
      Estou quebrando a cabeça tentando fazer isso e não consegui.
      Obrigada!
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.