symfony 中使用带 `{actioncode}` 占位符的 host-based 路由时,因 cookie 域未正确配置,导致会话无法跨子域名共享,用户在访问该路由时被意外登出。
在 Symfony 应用中,当你定义如下基于主机的动态路由时:
#[Route(
'/',
name: 'action',
host: '{actionCode}.%router.request_context.host%',
)]
public function action(string $actionCode): Response
{
// ...
}该路由会匹配类似 promo.example.com 或 test.example.com 这样的子域名请求。但问题在于:PHP 会话 Cookie 默认仅绑定到精确匹配的主机名(如 example.com),而不会自动作用于其子域名(如 promo.example.com)。因此,当用户从主站 example.com 登录后跳转至 promo.example.com,浏览器不会发送原会话 Cookie(SFSESSID),服务端无法识别用户身份,从而触发“已登出”行为——看似“仅当前页断开”,实则是会话上下文丢失。
✅ 根本解决方案是显式配置会话 Cookie 的作用域(domain)为通配子域名格式:
在 config/packages/framework.yaml 中,确保 session 配置包含正确的 cookie_domain:
framework:
session:
cookie_domain: '.example.com' # 注意开头的点号,表示匹配所有子域名
cookie_lifetime: 0 # 会话级 Cookie(浏览器关闭后失效)
save_path: '%kernel.project_dir%/var/sessions'
name: SFSESSID⚠️ 关键细节说明:
- cookie_domain: '.example.com' 中的前导 . 不可省略,它是 RFC 6265 规定的通配语法,表示该 Cookie 对 example.com 及其所有子域名(a.example.com、b.example.com)均有效;
- 若写成 example.com(无点),则仅匹配精确主机名,不覆盖子域名;
- 确保 %router.request_context.host% 解析出的基准域名(如 example.com)与 cookie_domain 值一致,否则仍会失效;
- 开发环境若使用 localhost,需改用 127.0.0.1 或配置本地 hosts 并使用真实域名(因现代浏览器禁止对 localhost 设置带点的 cookie_domain)。
? 验证方法:
- 登录主站(如 https://example.com);
- 访问子域名路由(如 https://promo.example.com);
- 检查浏览器开发者工具 → Application → Cookies,确认 SFSESSID 的 Domain 列显示为 .example.com,且在两个域名下均存在且值相同;
- dump($this->getUser()) 在控制器中应返回当前登录用户,而非 null。
? 补充建议:若应用需支持多级子域名(如 us.prod.example.com),cookie_domain 应设为 .example.com;若仅需一级子域名(如 admin.example.com),仍推荐统一使用 .example.com 以保持兼容性。同时,生产环境务必启用 HTTPS,并添加 cookie_secure: true 和 cookie_samesite: 'lax' 提升安全性。
通过上述配置,会话状态即可无缝跨越主域名与所有 {actionCode}.example.com 子域名路由,彻底解决“仅在 host-based 路由页面登出”的问题。
