PHP會話丟失：子域和https（SSL到非SSL）

Question

我想我在「stackoverflow」上閱讀並嘗試了關於「會話，跨域和ssl」的所有相關主題。不幸的是沒有用。

我的情況下：

loginForm.html（非SSL） - > authUser.php（SSL） - > showAccount.php（非SSL）

的問題是，即這些文件放置在不同的子域中，並通過SSL或非SSL服務。

loginForm.html - >http://dev.domain.com
authUser.php - >https://ssl.domain.com
showAccount.php - >http://dev.domain.com

如果用戶憑據是正確的，authUser.php應該創建使用該會話通過showAccount.php。

如前所述，我嘗試了所有發佈的解決方案。 供參考，我們來看看這個：Session lost when switching from HTTP to HTTPS in PHP。
我也試着擴展這個片段，如PHP Sessions across sub domains中所提到的session_set_cookie_params，但這不起作用。
我也試過ini_set('session.cookie_domain', '.domain.com');

編輯：正如在回答要求，這裏是使用的代碼（最初被張貼雅各這裏：Session lost when switching from HTTP to HTTPS in PHP）

https://ssl.domain.com/user/authUser.php

<?php 

// auth with database was successful, so create the session 

session_set_cookie_params(0, '/', '.domain.com'); 
session_start(); 

$currentSessionID = session_id(); 
$_SESSION['testvariable'] = 'It worked'; 
$InsecureServerDomain = 'dev.domain.com'; 
$pagePath = '/showAccount.php'; 

echo '<a href="http://' . $InsecureServerDomain . $pagePath . '?session=' . $currentSessionID . '">Transfer Cookie from secure to insecure </a>'; 

?> 

http://dev.domain.com/showAccount.php

<?php 

$currentSessionID = filter_input(GET, "session"); 
session_set_cookie_params(0, '/', '.domain.com'); 

session_id($currentSessionID); 

session_start(); 

if (!empty($_SESSION['testvariable'])) { 
     echo $_SESSION['testvariable']; 
} else { 
     echo 'It did not work.'; 
} 

?> 

$_SESSION總是空的。

有什麼提示嗎？

Answer 1

一如既往，看到一些代碼會有所幫助。也許您存儲會話的部分以及您如何使用Cookie /數據庫。這裏是一個關於如何做cross-domain authorization真棒教程，給這個傢伙一些更多upvotes！

Answer 2

保護只是您的登錄/授權毫無意義。正在查看網絡流量的攻擊者可以竊取每次請求傳遞給服務器的登錄cookie /會話令牌，然後以該用戶身份登錄。當然，密碼將是安全的，但它實際上並不能保護用戶的會話免受中間人攻擊（例如在不安全的WiFi網絡中）的劫持。

有關如何工作的示例，請參閱Firesheep。