还是跨域问题，大家能否给出一个实际的解决方案？

cyberteddy

两台服务器分别装有apache+php，有各自的应用，但都需要用户登录后才能访问，想用session验证用户身份，但由于两台服务器是在不同的域，所以会存在跨域的问题。看了网上的文章和本论坛的一个帖子：http://chinaunix.net/jh/27/206819.html，感觉都没有解决这个问题，因此还请各位再次讨论一下，有人做过类似的东西吗？能否把你的解决方案共享一下。
我个人的方法是：建立一个数据库sessions保存用户session信息，两台服务器的session都放在那里。但是经过试验发现用户在不同域(甚至子域)的每次产生的session id都是不一样的，因此就想把用户在某一台服务器访问后产生的session id，通过URL方式传到另一台，而在另一台服务器上如果发现在数据库中已存在该session id，则把相应信息取出。但这样做是否存在安全问题呢？请各位指点。谢谢。

NightKids

php session 提供有一个接口，可以“重载”它。

session_set_save_handler()

cyberteddy

谢谢楼上兄弟回复！
我就是用session_set_save_handler()来保存到数据库里啊，但session id在不同域的不一致是很令人头痛的问题，无法解决。不知道ASP，JSP是如何解决此类问题的？象那些大网站的很多服务器都是放在不同地方的，完成用户的身份验证是怎么实现的呢？

jhsea3do

主流的方法：

A.
*.php?sid=e1e6e76f7687d8s89d36549d1s3d8f

B.
$cookie->;setCookie("sid","e1e6e76f7687d8s89d36549d1s3d8f";

cyberteddy

我也考虑过这个方法，但是否安全，譬如说：hacker在某个网络上装上sniff之类的东西后，窃取到这个字串，然后利用该SID来冒充该用户，造成安全问题。

tonera

原帖由 "cyberteddy" 发表：
谢谢楼上兄弟回复！
我就是用session_set_save_handler()来保存到数据库里啊，但session id在不同域的不一致是很令人头痛的问题，无法解决。

不要用系统提供的SID。
自己造一个。用crypt()或者md5()一下。比较安全。 同时记录用户登录的来源IP。

我也考虑过这个方法，但是否安全，譬如说：hacker在某个网络上装上sniff之类的东西后，窃取到这个字串，然后利用该SID来冒充该用户，造成安全问题。

验证用户登录的IP。

问题：
1、这样做可能会限制一些合法用户，不太方便。
2、如果hacker可以伪造IP，那也不成，呵呵。想不到更好的办法。