symfony 中使用带主机占位符(如 `{actioncode}.%router.request_context.host%`)的路由时,因 cookie 域不匹配导致会话丢失、用户被意外登出,只需统一配置 `cookie_domain` 即可修复。
在 Symfony 应用中,当您定义如下基于动态子域的路由时:
#[Route(
'/',
name: 'action',
host: '{actionCode}.%router.request_context.host%',
)]
public function action(string $actionCode): Response
{
// ...
}虽然路由能正常匹配(例如访问 promo.example.com 或 test.example.com),但用户却在进入该路由后立即登出——且仅限此页面;刷新或跳转至其他路径(如 /login)时又能识别已有登录态。这并非认证逻辑错误,而是会话 Cookie 作用域不一致所致。
根本原因:Cookie 域未覆盖所有子域
默认情况下,Symfony 的 Session Cookie 会根据当前请求的 Host 头自动设置 Domain 属性(如 promo.example.com)。当用户从 www.example.com 登录后,会话 Cookie 被设为 Domain=www.example.com;而访问 promo.example.com 时,浏览器不会发送该 Cookie(因域名不匹配),导致服务端无法识别会话,SecurityBundle 视为未认证用户,触发登出或重定向。
解决方案:显式配置跨子域共享的 Cookie 域
在 config/packages/framework.yaml 中,强制指定 cookie_domain 为带前导点号的根域名(如 .example.com),使 Cookie 对所有子域生效:
# config/packages/framework.yaml
framework:
session:
cookie_domain: '.example.com' # ✅ 注意开头的点号,表示包含所有子域
cookie_lifetime: 0 # 可选:保持会话直到浏览器关闭
save_path: '%kernel.project_dir%/var/sessions'
name: 'SFSESSID' # 可选:自定义会话 Cookie 名⚠️ 注意事项: cookie_domain 必须以 . 开头(如 .example.com),否则浏览器按精确匹配处理,无法跨子域共享; 确保该域名与实际部署环境一致(开发环境可用 .localhost 或 .test,但需配合 hosts 配置); 若使用 HTTPS,建议同时设置 cookie_secure: true 和 cookie_samesite: 'lax' 提升安全性; 修改后需清除浏览器中旧的会话 Cookie(或重启浏览器),否则仍可能复现问题。
完成配置并清除相关 Cookie 后,无论用户通过 www.example.com、promo.example.com 还是 api.example.com 访问带 {actionCode} 占位符的路由,都会携带同一会话,登录态得以持久保持。这一配置是多子域 SaaS 应用或活动页路由场景下的标准实践。
