Почему для сохранения сессии требуется перезагрузка страницы?

Question

[photosho]

Здравствуйте. Все те же проблемы с авторизацией, но вопрос уже другой, поэтому создаю его в отдельной теме. Итак, проблема:

Создаю форму авторизации посредством AJAX - это не форма в терминах HTML, она не отправляется кнопкой "Submit", но AJAX делает некоторый запрос к серверу, сервер, в свою очередь, проверяет правильность введенных данных, и, если все введено правильно, вызывает код авторизации пользователя:

$result = \Auth::attempt([
  'username' => $login,
  'password' => $password
], $remember);

И возвращает некоторый результат браузеру. Как мы уже видели раньше, в этой ситуации сервер создает сессию, но после перезагрузки страницы сессия почему-то удаляется.

Интересно, что если после вышеприведенного кода вызвать функцию перенаправления, то сессия создастся правильно:

if ($result) return redirect()->intended('/');

Перенаправлять, при этом, можно куда угодно. Только появляется другая проблема. AJAX-запрос должен возвращать браузеру некоторый результат своей работы, чтобы, в случае удачного входа, браузер перезагружал страницу. Если скрипт, вызванный браузером, перенаправляется на другую страницу, то ответа браузер не получает, вместо чего получает сообщение о 302-перенаправлении в вызванном скрипте.

Если отлавливать это сообщение (302) и обновлять страницу в браузере при его получении, то страница обновится быстро, и сервер еще не успеет обработать перенаправления в своем скрипте, в результате чего на экране будет все та же кнопка входа, и только после еще одной перезагрузки страницы мы увидим надпись "Вы вошли".

Обновлять в браузере страницу с некоторой задержкой боюсь, так как это решение видится нестабильным - могут быть ситуации, когда сервер все равно не успеет обработать перенаправление до обновления страницы браузером.

В результате, вопрос: что такое делает сервер перед своей перезагрузкой, что позволяет ему сохранить сессию (почему она не сохраняется функцией "attempt", и требуется обязательная перезагрузка) и можно ли эти действия вызвать внутри вызываемого при помощи AJAX скрипта?

Comments

[D']

Почему никто еще не спросил КАК автор определяет залогинен ли пользователь, или нет? Где код фронта? view/js?

[photosho]

D' Normalization: Как я писал в предыдущем вопросе:

if ($request->ajax()) {
$params = $request->input('params');
} else exit();

$result = \Auth::attempt([
'username' => $params['login'],
'password' => $params['password']
], $params['remember']);
if (\Auth::user()) $result = 'Вошел';
else $result = 'Не вошел';

echo json_encode($result);

[D']

photosho: это код контроллера. Как на фроте узнается что пользователь залогинен?

[photosho]

D' Normalization: Так же, как и в контроллере: "if (\Auth::user())" - делаем действия, связанные с вошедшим пользователем. Иначе - действия, относящиеся к гостю.

[D']

photosho: у меня такие классные синие носки. Прям загляденье...
Мне неинтересны ваши рассказы. Покажите код, желательно где-нибудь на pastebin. Код view.

[photosho]

D' Normalization: Вот код view: pastebin.com/grfSyxph

[D']

photosho: что за сервер используется? Может он кеширует запросы?

[photosho]

D' Normalization: Сборка сервера: Open Server, Сервер Apache 2.4, PHP 5.6. С кешированием запросов не знаком, не могу пока дать точной информации.

[D']

photosho: а если использовать что-то более нормальное? Например как советуют в офф. документации: homestead?

[photosho]

D' Normalization: А на Apache и не должно работать? Homestead - как я понял, что-то вроде их виртуального сервера. Вроде, все необходимые для Laravel системные требования на сервере выполняются, должно работать и не работает.

[D']

photosho: оно должно везде работать. Проблема не в laravel. Значит нужно менять окружение.

Answer 1

[photosho]

При каждом обновлении страницы создается 2 записи Cookie: "XSRF-TOKEN" и "laravel_session". При обычном AJAX-запросе на авторизацию больше Cookie не создается. При AJAX-запросе с последующим перенаправлением PHP-скрипта на любую страницу - в браузере появляется еще одна запись Cookie. Все записи привязаны к корневой директории сайта ("/").

Притом, после такого запроса страница, с которой была произведена авторизация, получает ответ на свой POST-запрос с кодом "302" + какой-то удачный GET-запрос с того адреса, куда было произведено перенаправление PHP-скрипта.

Не знаю, насколько это правильно, но из всего перечисленного делаю вывод, что финальное перенаправление PHP-скрипта нужно для обновление записи Cookie в браузере (каким образом - пока не знаю), а значит, и подтверждения авторизации. Без этой записи в Cokie пользователь не мог считаться авторизованным, и простая перезагрузка страницы в браузере, будто бы, "удаляла авторизацию". Почему пользователь при этом считался авторизованным в той же сессии - пока тоже не знаю, возможно, информация о нем как-то кешировалась в переменных на сервере.

Решил проблему следующим образом. Так как после перенаправления PHP-скрипта на сервере открытой странице с формой авторизации возвращался GET-запрос, сделал вывод, что страница, на которую идет перенаправление, все еще связана с нашей AJAX-функцией. Поэтому перенаправление в PHP-скрипте поставил на страницу "/login/final/", где записал единственную строку:

echo json_encode(['redirect' => 'update']);

Как и предвидел: этот массив после выполнения скрипта возвратился браузеру, и по значению "update" параметра "redirect" браузер обновляет текущую страницу. Авторизация работает.

Всем спасибо за помощь, совет "заглянуть в Cookie" направил меня по нужному пути.

Comments

[Евгений]

Это не решение, а костыль. Ваша проблема вот здесь в контроллере
echo json_encode($result);
нужно так return response()->json($result);
Объясняю почему: вы выдаете echo до посыла заголовков, если включить пхп ошибки то наверняка будет что-то типа Warning: Cannot modify header information - headers already sent by (output started at и куки тупо не ставятся.

[photosho]

Nc_Soft: При попытке вызова "response" - "Trying to get property of non-object". Как его правильно вызывать?

[Евгений]

photosho: 4 ларавер чтоли? Можно просто return $result; оно если массив, то в json сделает

[photosho]

Nc_Soft: Laravel 5.

[Евгений]

photosho: В общем, надо убрать echo из контроллеров, тогда будут отсылаться куки.
В 5 ларавеле конструкция
return response()->json(['data' => 'data']) работает

[photosho]

Nc_Soft: Спасибо, с использованием "return", и правда, работает без перенаправления. Думаю, ход мыслей моего ответа будет полезен для понимания финального варианта.

[Евгений]

photosho: Во-первых, надо включать все ошибки при разработке error_reporting = -1 в php.ini
Во-вторых не делать никаких echo в контроллерах.
Ну и не городить костыли, а разбираться с проблемой.

Answer 2

[Евгений]

/**
         * Attempt to authenticate a user using the given credentials.
         *
         * @param array $credentials
         * @param bool $remember
         * @param bool $login
         * @return bool 
         * @static 
         */
        public static function attempt($credentials = array(), $remember = false, $login = true){
            return \Illuminate\Auth\Guard::attempt($credentials, $remember, $login);
        }

Должно сразу авторизовывать, у вас что-то с сессиями/куками

Comments

[photosho]

Nc_Soft, что, например? Я пробовал с разных браузеров, и результат один и тот же. Вариант с перенаправлением работает, а без него - не хочет.

Притом, авторизовывается, конечно: если сразу после "attempt" вызвать проверку авторизации, то окажется, то пользователь авторизован. После перезагрузки страницы все пропадает. А сессии пробовал как в файлах, так и в БД - результат один и тот же.

[Евгений]

photosho: Значит куки надо проверять. Домены где форма и обработчик одинаковые?

[photosho]

Nc_Soft: Домены одинаковые. А что проверять в печеньках? И непонятно, также, почему при "return redirect..." сессия создается нормально.

[Евгений]

photosho: время жизни кукис, домен, путь из кукис в ответ на аякс запрос.