ThinkPHP绑定域名后表单提交失败,如何确保域名与Token验证一致?
- 内容介绍
- 文章标签
- 相关推荐
本文共计857个文字,预计阅读时间需要4分钟。
直接原因很明确:
session.cookie_domain 配置必须显式匹配新域名
ThinkPHP 默认不干预 PHP 的 session 配置,它依赖底层 session_start() 的行为。一旦你把站点从 localhost 或 127.0.0.1 绑定到正式域名(比如 www.example.com),就必须手动设置 cookie 域名,否则浏览器不会把 session cookie 发给新域名。
- 在
config/session.php中添加或修改:'domain' => '.example.com'(注意开头的点,表示兼容子域名) - 如果只用主域名,不带子域,写成
'domain' => 'www.example.com'也可以,但更推荐前者 - 切勿留空或写成
localhost—— 这会导致新域名下 session 完全失效 - 改完后清掉浏览器所有该域名下的 Cookie,否则旧 cookie 仍会干扰
表单渲染和提交必须发生在同一域名上下文
很多人忽略一点:{:token()} 渲染时用的是当前请求的域名 + session ID 生成 hash;提交时也必须由**同一个域名发起请求**,否则服务端 session 存储的原始 hash 对不上。
- 禁止用 Nginx 反向代理把
api.example.com的请求偷偷转到www.example.com后端却不透传 Host 头——这会让 PHP 看到的请求域名仍是api.example.com,但 session 却按www.example.com存的 - 前端 JS 动态加载表单(如
$.get('/form'))时,确保 URL 是完整域名路径,而不是相对路径/form,否则跨子域时可能触发不同 origin 的 session 隔离 - 不要在开发环境用
http://localhost写死 AJAX 地址,上线后忘了改,导致 token 在 localhost 渲染、却往正式域名提交
微信服务器配置里的 Token 验证是另一套逻辑,别混在一起
这里容易混淆:think\middleware\TokenCheck 是防表单重复提交的会话级 token;而微信后台填的 TOKEN 是用于 URL 接入验证的签名密钥,两者完全无关。前者失效不会影响后者,反之亦然。
立即学习“PHP免费学习笔记(深入)”;
- 微信验证走的是纯 GET 请求,不依赖 session,也不走任何 ThinkPHP 中间件(除非你手动注册了)
- 如果你在微信配置页看到 “Token 验证失败”,检查点是:
$_GET['echostr']是否原样输出、sha1(implode(sort([$token, $timestamp, $nonce])))是否与$_GET['signature']严格相等、响应是否被框架自动加了 JSON 包装或 HTML 模板 - 不要试图复用表单的
_token字段去应付微信验证——字段名、生成方式、生命周期全都不一样
最常被忽略的是:改完 session.domain 后没清浏览器 cookie,或者用了多标签页同时开着旧域名和新域名页面,导致两个域名共享了同一份本地存储但 session 数据互相污染。这种问题不会报错,只会让 token 校验时灵时不灵。
本文共计857个文字,预计阅读时间需要4分钟。
直接原因很明确:
session.cookie_domain 配置必须显式匹配新域名
ThinkPHP 默认不干预 PHP 的 session 配置,它依赖底层 session_start() 的行为。一旦你把站点从 localhost 或 127.0.0.1 绑定到正式域名(比如 www.example.com),就必须手动设置 cookie 域名,否则浏览器不会把 session cookie 发给新域名。
- 在
config/session.php中添加或修改:'domain' => '.example.com'(注意开头的点,表示兼容子域名) - 如果只用主域名,不带子域,写成
'domain' => 'www.example.com'也可以,但更推荐前者 - 切勿留空或写成
localhost—— 这会导致新域名下 session 完全失效 - 改完后清掉浏览器所有该域名下的 Cookie,否则旧 cookie 仍会干扰
表单渲染和提交必须发生在同一域名上下文
很多人忽略一点:{:token()} 渲染时用的是当前请求的域名 + session ID 生成 hash;提交时也必须由**同一个域名发起请求**,否则服务端 session 存储的原始 hash 对不上。
- 禁止用 Nginx 反向代理把
api.example.com的请求偷偷转到www.example.com后端却不透传 Host 头——这会让 PHP 看到的请求域名仍是api.example.com,但 session 却按www.example.com存的 - 前端 JS 动态加载表单(如
$.get('/form'))时,确保 URL 是完整域名路径,而不是相对路径/form,否则跨子域时可能触发不同 origin 的 session 隔离 - 不要在开发环境用
http://localhost写死 AJAX 地址,上线后忘了改,导致 token 在 localhost 渲染、却往正式域名提交
微信服务器配置里的 Token 验证是另一套逻辑,别混在一起
这里容易混淆:think\middleware\TokenCheck 是防表单重复提交的会话级 token;而微信后台填的 TOKEN 是用于 URL 接入验证的签名密钥,两者完全无关。前者失效不会影响后者,反之亦然。
立即学习“PHP免费学习笔记(深入)”;
- 微信验证走的是纯 GET 请求,不依赖 session,也不走任何 ThinkPHP 中间件(除非你手动注册了)
- 如果你在微信配置页看到 “Token 验证失败”,检查点是:
$_GET['echostr']是否原样输出、sha1(implode(sort([$token, $timestamp, $nonce])))是否与$_GET['signature']严格相等、响应是否被框架自动加了 JSON 包装或 HTML 模板 - 不要试图复用表单的
_token字段去应付微信验证——字段名、生成方式、生命周期全都不一样
最常被忽略的是:改完 session.domain 后没清浏览器 cookie,或者用了多标签页同时开着旧域名和新域名页面,导致两个域名共享了同一份本地存储但 session 数据互相污染。这种问题不会报错,只会让 token 校验时灵时不灵。