ThinkPHP多域名应用统一退出与跨域缓存Session清除方法

在多域名架构中实现统一登出功能，是许多开发者面临的典型挑战。表面上看，用户在 admin.example.com 点击退出后，系统也执行了 session_destroy()，但用户却依然能正常访问 api.example.com 或 www.example.com。问题的核心通常不在于代码逻辑，而在于 Cookie 的“作用域”配置不当。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

ThinkPHP 多域名下退出登录为何只清除当前域名的 Session？

根本原因在于，PHP 的 session_set_cookie_params() 默认会将 Session Cookie 绑定到当前请求的域名上。当你调用 session_destroy() 或 setcookie() 删除 Cookie 时，若未显式指定 domain 参数，操作就只会影响当前域，其他子域或主域的 Session Cookie 仍会保留。

这解释了常见现象：用户在管理后台退出后，API 接口或主站却依然保持登录状态。

• 要让 Cookie 在所有子域下生效，必须将其 domain 设置为根域，且开头需带点号，例如 .example.com。
• 在 ThinkPHP 5.1 及以上版本中，你需要在 config/session.php 配置文件中明确指定该域：

  'domain' => '.example.com',

• 若项目使用 Redis 存储 Session，还需确保所有子域连接并共享同一个 Redis 实例，同时 session_id 的生成逻辑保持一致（默认情况下相同）。
• 需注意一个重要限制：受浏览器同源策略约束，Cookie 的 domain 设置无法跨主域生效。即无法通过设置 .example.com 来清除 other-site.com 下的 Cookie。

如何在退出登录时主动清除多个域名的登录状态？

仅销毁本地 Session 是不够的，关键在于让其他相关域名也“感知”到退出事件。因此，更可靠的方案是引入“中心化登出通知”机制，而非被动依赖浏览器删除 Cookie。

• 在核心的退出接口（如 /logout）中，完成 session_destroy() 后，可主动向其他可信子域发起异步 HTTP 请求，触发其各自的本地退出逻辑：

  file_get_contents('https://api.example.com/api/v1/logout?token=' . $shared_sign);

• 相应地，每个子域都需提供一个配套的退出接口，用于接收请求并校验其中的 $shared_sign 签名（建议使用 HMAC-SHA256 算法并加上时间戳，以防重放攻击）。
• 还有一种更轻量的前端方案：用户退出后，跳转至一个中间页面（例如 https://sso.example.com/logout?redirect=...）。由该页面通过 iframe 向所有子域发送 postMessage 消息，各子域页面监听此消息并执行本地的 session_destroy()。
• 应避免直接使用 JavaScript 遍历 document.cookie 来删除，因为此方式无法清除标记为 HttpOnly 的 Cookie（通常 Session Cookie 即是），且同样受跨域限制。

ThinkPHP 跨域请求时 Session 不延续？检查 session_name() 与 Cookie 属性

在前后端分离架构中，前端应用运行于 www.example.com，却需向 api.example.com 发起请求，此时登录状态（Session）常会意外丢失。问题根源往往是 Cookie 未被正确携带至跨域请求中。

• 首先，确认前端发起的请求已正确设置凭据携带。使用 Fetch API 时需设置 credentials: 'include'；若使用 Axios，则需设置 withCredentials: true。
• 后端服务器的响应头也必须正确配置。关键的头信息是：

  Access-Control-Allow-Origin: https://www.example.com

  注意，此处不能使用通配符 *，否则浏览器出于安全考虑，将不允许携带凭据。
• 在 ThinkPHP 中，你可能需要在中间件或全局配置中手动设置 Cookie 的域：

  cookie('PHPSESSID', '', ['domain' => '.example.com']);

• 若项目使用了自定义的 Session 名称（例如 think_session），务必确保前后端对该名称的认知完全一致，并在调用 session_start() 前，先执行 session_name('think_session')。

清除缓存时勿遗漏 runtime/cache/ 与浏览器强缓存

多域名应用常会共用一套静态资源或 API 缓存。但 ThinkPHP 的文件缓存默认按应用路径隔离，这易使人产生错觉：认为清除了 A 域名的缓存，B 域名的缓存也会同步失效。

• 文件缓存的存储路径由 config/cache.php 中的 'path' 配置项决定。只有确保所有域名都指向同一个 runtime 目录，清除缓存的操作才能真正覆盖全局。
• 若使用 Redis 或 Memcached 这类集中式缓存，则需检查所有域名的配置，确保它们连接的是同一个缓存实例与数据库（注意 database 配置项）。
• 在浏览器端，退出操作完成后，服务端返回的响应头应包含 Cache-Control: no-store，告知浏览器勿存储此响应。对于关键接口，还可考虑在请求 URL 后附加时间戳参数（如 ?t=1717023456），以绕过浏览器的强缓存。
• 别忘了 CDN 缓存。ThinkPHP 本身不管理 CDN，你需要通过调用 CDN 服务商提供的 API，或在 CDN 控制台配置相应的缓存规则（例如，根据特定 Cookie 或请求头判断用户登录状态），来手动刷新或设置不缓存。

总而言之，实现跨域统一退出的难点，往往不在于代码编写，而在于确保各个环节的配置严密吻合——Cookie 的域、协议（HTTP/HTTPS）、路径（是根路径 / 还是 /admin/）、Secure 属性等，必须全部对齐。任何细节的疏忽，都可能导致整个机制在静默中失效。