主机名路由导致会话失效解决方法

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《主机名路由导致会话失效怎么解决》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

Symfony 中使用带主机占位符（如 `{actionCode}.%router.request_context.host%`）的路由时，因 Cookie 域不匹配导致会话丢失、用户被意外登出，只需统一配置 `cookie_domain` 即可修复。

在 Symfony 应用中，当您定义如下基于动态子域的路由时：

#[Route(
    '/',
    name: 'action',
    host: '{actionCode}.%router.request_context.host%',
)]
public function action(string $actionCode): Response
{
    // ...
}

虽然路由能正常匹配（例如访问 promo.example.com 或 test.example.com），但用户却在进入该路由后立即登出——且仅限此页面；刷新或跳转至其他路径（如 /login）时又能识别已有登录态。这并非认证逻辑错误，而是会话 Cookie 作用域不一致所致。

根本原因：Cookie 域未覆盖所有子域

默认情况下，Symfony 的 Session Cookie 会根据当前请求的 Host 头自动设置 Domain 属性（如 promo.example.com）。当用户从 www.example.com 登录后，会话 Cookie 被设为 Domain=www.example.com；而访问 promo.example.com 时，浏览器不会发送该 Cookie（因域名不匹配），导致服务端无法识别会话，SecurityBundle 视为未认证用户，触发登出或重定向。

解决方案：显式配置跨子域共享的 Cookie 域

在 config/packages/framework.yaml 中，强制指定 cookie_domain 为带前导点号的根域名（如 .example.com），使 Cookie 对所有子域生效：

# config/packages/framework.yaml
framework:
    session:
        cookie_domain: '.example.com'  # ✅ 注意开头的点号，表示包含所有子域
        cookie_lifetime: 0             # 可选：保持会话直到浏览器关闭
        save_path: '%kernel.project_dir%/var/sessions'
        name: 'SFSESSID'               # 可选：自定义会话 Cookie 名

⚠️ 注意事项：

• cookie_domain 必须以 . 开头（如 .example.com），否则浏览器按精确匹配处理，无法跨子域共享；
• 确保该域名与实际部署环境一致（开发环境可用 .localhost 或 .test，但需配合 hosts 配置）；
• 若使用 HTTPS，建议同时设置 cookie_secure: true 和 cookie_samesite: 'lax' 提升安全性；
• 修改后需清除浏览器中旧的会话 Cookie（或重启浏览器），否则仍可能复现问题。

完成配置并清除相关 Cookie 后，无论用户通过 www.example.com、promo.example.com 还是 api.example.com 访问带 {actionCode} 占位符的路由，都会携带同一会话，登录态得以持久保持。这一配置是多子域 SaaS 应用或活动页路由场景下的标准实践。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《主机名路由导致会话失效解决方法》文章吧，也可关注golang学习网公众号了解相关技术文章。