PHP Session 登录态丢失排查工作流：从 Cookie 到 SameSite 和存储路径

PHP 项目里经常会遇到一种很烦的问题：登录接口提示成功，刷新页面却又变成未登录；本地正常，线上偶发丢失；换成 HTTPS 后，某些浏览器不再带登录态。这个问题表面像业务判断错误，实际常常卡在 Cookie、SameSite、域名路径、Session 存储路径或 PHP-FPM 权限上。

本文用一套完整工作流，把 PHP Session 登录态丢失拆成可检查的阶段。读完后，你可以从浏览器请求开始，一步步走到服务端存储和权限，最后用同一组请求复测结果。

目标和边界：先确认是登录态丢失，不是业务判断错误

先把边界定清楚。Session 登录态丢失指的是：服务端已经写入登录信息，但后续请求无法读到同一个会话。它和账号密码错误、权限判断不通过、接口返回字段写错不是一类问题。

可以先用一个最小示例确认会话是否能稳定读写：

第一次访问应该输出 first write，第二次访问应该输出 uid=1001。如果第二次仍然像首次访问，说明 Session ID 没有稳定回传，或者服务端没有读到之前写入的数据。

全流程总览：从浏览器 Cookie 到服务端存储

先说结论：排查 PHP Session 登录态丢失，不要只盯业务代码。推荐从浏览器 Cookie 入手，再看 SameSite、Secure、Domain、Path，然后回到服务端存储路径、权限和多实例共享，最后用登录到刷新的完整链路复测。

阶段 1：确认浏览器是否保存并回传 Cookie

目标：先确认浏览器有没有拿到 Session ID，以及后续请求是否带回同一个值。

关键动作：打开浏览器开发者工具，查看登录响应里的 Set-Cookie，再看刷新页面或调用接口时的 Cookie 请求头。

Set-Cookie: PHPSESSID=abc123; path=/; HttpOnly
Cookie: PHPSESSID=abc123

工具选择：浏览器 Network 面板最直观；命令行可以用 curl -i 看响应头，用保存 Cookie 的方式模拟连续请求。

curl -i -c /tmp/php-cookie.txt https://demo.example.com/login
curl -i -b /tmp/php-cookie.txt https://demo.example.com/profile

检查点：如果响应头没有 Set-Cookie，先检查是否已经调用 session_start()，以及是否在输出内容后才启动会话。如果浏览器保存了 Cookie 但后续没有带回，继续检查 SameSite、Secure、Domain 和 Path。

阶段 2：核对 Session 配置和 SameSite 策略

目标：确认 Cookie 策略符合访问方式。尤其是前后端分离、跨子域、HTTPS、内嵌页面、第三方回调等场景，默认策略很容易不匹配。

 7200,
    'path' => '/',
    'domain' => '.example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Lax',
]);

session_start();

工具选择：session_set_cookie_params() 应该在 session_start() 之前调用。普通同站登录一般用 Lax；确实需要跨站携带 Cookie 时，才考虑 None，并且必须配合 HTTPS 的 Secure。

检查点：浏览器开发者工具里没有 Cookie 被拦截提示；同一业务域名下 Cookie 的 Domain 和 Path 能覆盖登录页、接口页和用户中心页。

阶段 3：检查服务端存储路径和 PHP-FPM 权限

目标：确认服务端能把 Session 数据写进去，也能在下一次请求读出来。

关键动作：查看 PHP 当前配置，确认保存路径存在且 PHP-FPM 运行用户有读写权限。

ls -ld /var/lib/php/session
ps aux | grep php-fpm
sudo chown -R www-data:www-data /var/lib/php/session
sudo chmod 700 /var/lib/php/session

工具选择：单机项目可以先用本地目录保存；多台应用机器要用共享缓存或会话粘滞策略，否则一次登录写在 A 节点，下一次请求落到 B 节点就读不到。

检查点：登录后服务端存储路径里能看到更新的会话记录；刷新页面后同一个 Session ID 能读到同一份数据；PHP-FPM 日志里没有权限拒绝。

阶段 4：把登录、刷新、退出串成回归用例

目标：修复后不能只测一次登录成功，还要验证状态生命周期完整。

关键动作：至少覆盖四个动作：登录写入、刷新读取、接口读取、退出清理。

检查点：登录后刷新仍然登录；接口能读到同一用户；退出后 Cookie 被清理，刷新不会误判为已登录；再次登录会生成新的有效状态。

推荐流程：一次登录态丢失怎么排查

1. 先用最小示例确认 Session 是否能连续读写。
2. 查看登录响应是否返回 Set-Cookie。
3. 查看后续请求是否带回同一个 Cookie。
4. 核对 SameSite、Secure、Domain、Path 是否覆盖实际访问方式。
5. 查看 session.save_path，确认 PHP-FPM 用户有读写权限。
6. 如果是多台应用机器，确认会话是否共享或流量是否固定到同一节点。
7. 最后做登录、刷新、接口读取、退出清理四步回归。

容易踩坑：为什么看起来都对却仍然丢

坑 1：先输出内容，再启动会话

Cookie 需要通过响应头发送。如果页面已经输出内容，再调用 session_start()，会话头可能发不出去。公共入口里要尽早初始化会话。

坑 2：Domain 配得太窄

登录页在 www.example.com，接口在 api.example.com，如果 Cookie 只属于其中一个子域，另一个子域自然读不到。

坑 3：SameSite 和 Secure 不匹配

需要跨站携带 Cookie 时，如果用了 SameSite=None 却没有 Secure，现代浏览器会拒收或拒带。普通同站登录则不要过度放宽策略。

坑 4：多节点没有共享会话

单机测试正常，线上负载均衡后丢失，常见原因是不同请求落到不同节点，而每个节点只保存自己的会话数据。此时要改成共享缓存，或让同一用户请求固定到同一节点。

速查表：现象、检查点和处理方向

总结一下：PHP Session 登录态丢失不要只盯业务 if 判断。更稳的排查路线是先看 Cookie 是否保存和回传，再核对 SameSite、Secure、Domain、Path，接着检查服务端保存路径和 PHP-FPM 权限，最后用完整登录生命周期复测。这样可以把“登录后又掉线”的问题拆成一组可验证的信号。