我有两个cakePHP2应用程序在同一数据库上运行,但是具有不同的Auth表和不同的$this-> Auth-> usermodel值.
认证工作良好,用户从一个应用程序无法登录到其他.
认证工作良好,用户从一个应用程序无法登录到其他.
但是当应用程序使用相同的CAKEPHP会话cookie时,会发生这种情况:
当用户从应用程序“一”登录时,它可以访问应用程序“二”中的任何受Auth保护的操作!
我可能会使用不同的用户角色和cookie名称.
但是,在检查会话时,为什么Auth组件忽略Auth-> usermodel设置?有没有办法在这种情况下配置它正常工作?
提前感谢任何建议.
如果没有配置,AuthComponent将会将验证的用户记录写入CakePHP 2中的Auth.User会话密钥.
AuthComponent::sessionKey
The session key name where the record of the current user is stored. If unspecified,it will be “Auth.User”.
(在CakePHP 1.3 this was different:Auth.{$usermodel name})
因此,如果您的应用程序共享一个会话(他们所做的),如果cookie名称和Security.salt匹配,则登录的记录将被共享.
有两种可能性来解决这个问题:
分离登录
只需为您的两个模型设置一个不同的AuthComponent :: sessionKey.这将允许他们分开保存登录的用户
分开会话
为这两个应用程序配置不同的Cookie名称和盐度,因此它们的会话不能互相覆盖.这可能是更干净的解决方案,因为它也涵盖了其他会话密钥被双重使用的风险.
