Crossdomain sessions in php, использование?

Question

[tsisforever]

Всем привет! Я делаю приложение для Android которое общается с php сайтом через JavaScript. Так получилось что надо сделать работу с сессиями на устройстве, пытаюсь сделать через $.ajax, но он не передает Session, для этого пригодилась простая проверка:

if ($_SESSION['name']){echo "true";}else{echo"false";}

Выдает false, хотя на сервере у пользователя выполнен вход.

Подскажите как осуществить кроссдоменный обмен сессиями?

Answer 1

[Shaks]

Я так и не понял причем тут кроссдоменность.
Кроссдоменный обмен сессиями это когда на сайте A нужно работать с сессией сайта Б (яркий пример чтоб не терялась сессия между www.domain.com и domain.com).
Вы же спрашиваете, почему приложение, обращающееся на сервер не получает сессию.
Чтобы ответить нужно для начала понять что такое сессия. В двух словах это: файлик (или запись в БД зависит от типа хранения сессии), который находится на стороне сервера, и в котором хранится информация о посетителе. Идентификатор сессии (session_id) устанавливается посетителю как cookies. Т.е. по факту сессия это cookie имя которой по умолчанию PHPSSID если я правильно помню, а значение - идентификатор сессии.
Таким образом, получая в кукисах идентификатор сессии, сервер ищет файлик у себя, и если находит то данные сессии пишет в $_SESSION.

Ваше приложение поддерживает cookie ?

Также убедитесь в том что на стороне сервера сессия устанавливается. Проверьте наличие session_start() и просмотрите заголовки которые отдает сервер.

Comments

[tsisforever]

Я скажу проще: мне надо сделать авторизацию через другой сайт на JavaScript, но чтобы проверялось "А входил ли уже пользователь? Есть ли на сервере его сессия?", то есть мы авторизируемся первый раз, вводим логин и пароль и нужно чтобы авторизация происходила на другом сервере. Я делаю так: передаю значения полей через AJAX и на сервере выводим echo "true"; Но теперь нужно чтобы проверялась авторизация, то есть был ли пользователь авторизирован ранее, содержит ли сервер его сессию. Так вот это мне и надо)

[tsisforever]

Если что могу код кинуть во ВКонтакте или по email.

[Shaks]

Вы путаете два понятия, авторизация и аутентификация.
Аутентификация - передача логина/пароля, процесс получения авторизации.
Авторизация - собственно и есть сессия.

А теперь поправьте меня если я ошибаюсь. Вам нужно чтобы на сайте "А" проходила аутентификация, а авторизация была доступна как на сайте "А" так и на сайте "Б"?
Если я правильно понял задачу, то:

Напомню что сессионные идентификаторы хранятся в кукисах, а это означает что нужно получить куку (и сессию) на обоих доменах, а это в свою очередь означает что и аутентификацию нужно пройти на обоих доменах. Поэтому план действий следующий:
После ввода логина/пароля и прохождения валидации на стороне сервера, выдается javascript прокладка, которая делает POST запрос с шифрованными (например алгоритмом rc4 (ru.wikipedia.org/wiki/RC4)) данными пользователя (баланс, логин, email и прочие данные) на API домена "Б". API в свою очередь пережевывает данные, и если всё ок то запускает сессию и отправляет юзера обратно на домен "А", где происходит завершающая стадия аутентификации, то есть тоже запускается сессия.
Таким образом ты получишь авторизацию на двух разных доменах.

Если же сайт "Б" это поддомен домана "А", то достаточно покурить это: ru2.php.net/manual/ru/function.session-set-cookie-...

[tsisforever]

@shaks и еще раз говорю сайт "A" поддерживает только Html+JavaScript и как мне запустить сессию на нем?)

[Shaks]

@tsisforever что значит еще раз? где вы говорили о том что на доменах нет серверной части?

[tsisforever]

@shaks Нужно способ с аутентификацией на одном домене и в последствии как-то проверять, но я так думаю такого способа нету.

[Shaks]

ответ - никак, только куку - "флаг" поставить. Схема та же только без аутентификации.

[tsisforever]

@shaks Моя ошибка, я прямо этого не сказал, а неграмотно тут " через другой сайт на JavaScript".

[Александр]

@tsisforever токены в помошь
сайт "А" - ваше приложение-сайт (HTML+JavaScript)
сайт "Б" - сайт авторизации (PHP+База)

Аутентификация
сайт "А" на сайт "Б" отправляет логин/пароль
на сайте "Б" идет проверка и создается уникальный токен, привязывается к айпи, который записывается в базу вида ТОКЕН=>ID_ПОЛЬЗОВАТЕЛЯ
на сайт "А" передается сообщение об успешной авторизации и токен - можно через Json - примерно так
{ "answer" : "ok" , "token" : "ABCDEF0123456790" }

Пол дела сделано - в последующем при обращении к сайту "Б" с запросом передается токен, по которому проверяется Авторизация
На сервере "Б" в свою очередь при каждом запросе проверять токен и если все ок, то увеличивать время жизни этого токена
На сайте "А" этот токен можно сохранить в кики, LocalStorage и тому подобные клиентские хранилища

[Александр]

@shendel в общем те же самые сессии, только в профиль

[tsisforever]

@shendel Я попробую. Спасибо огромное!