ドメインが同じな2つのLaravelアプリでのログイン状態の共有について

実現したいこと

ドメインが同じでアプリケーションとして分かれている2サイトでログイン状態を共有したい。
例）Aサイトでログイン後、Bサイトにアクセスするとログイン状態になっている

発生している問題・分からないこと

個人開発でLaravel製のサイトA（hoge.jp）とLaravel製のサイトB（hoge.jp/fuga）を運用しています。
どちらのサイトもフロントはBladeでサーバーサイドでHTMLを生成します。
Laravelのバージョンはバラバラです。

両サイトには会員機能があり、同じDBのユーザーテーブルを見ています。

この度、どちらか片方でログインすれば、もう片方にアクセスしてもログインが保持（共有）されているようにしたいと思っています。

両サイトのAPP_KEYは同じにしているので、セッションクッキー名を合わせて、同じセッション管理サーバーを使用すれば実現できると思ったのですが、Laravelのバージョンの違いやルートパスとサブディレクトリでアプリが分かれているからか実現ができませんでした。

両サイトでのログイン状態共有を実現するためには、どのような方法があるのでしょうか。もしくは実現が難しいのでしょうか。

該当のソースコード

特になし

試したこと・調べたこと

teratailやGoogle等で検索した
ソースコードを自分なりに変更した
知人に聞いた
その他

上記の詳細・結果

認証サーバー(auth.hoge.jp)をたててOAuth2.0 + OpenIDConnectで実現できるかと思いましたが、あくまで認証を共通化する仕組みと理解したので、ログイン状態の共有は難しいと判断しました。

ちゃんと理解できていないのですがSSOという手もあるのかな？と考えています。

補足

特になし

行動規範の内容に同意します

回答2件

同じドメインならば、ログインした際にアプリケーション側でユニークなIDを生成して、DBに保存してユーザーに返して、ユーザーがそのユニークなIDを持っていたらログイン済みってことで良いと思いますが、それではだめな理由とかってあるんでしょうか。
既についている回答で無理筋という話もあるのですが。

投稿2025/09/03 03:59

u2025

総合スコア90

winterboum

2025/09/03 14:05

その方法だとそのユニークなIDをいつ削除するのか、というのを解決しないと。 logoutしないでPC落とした時どうするかとかクッキー扱うよりは実現性ありますね

u2025

2025/09/04 03:17

それは要件によるとしか言いようがないです、例えば無効にする期日を列に持ってて、認証の度に有効期限切れてるかを確認するとかもできますしそもそも、ログインログアウトをどのように扱うかは要件決まってないと、どう実装するかという話になんないので、何を危惧していて、何が疑問なのかその返信から読み取れません

u2025

2025/09/04 03:20

(書くまでもないと思いますが、ログイン処理後はセッションでオンメモリに認証済みかどうかと、有効期限を持ってもいいです) 別にユニークなIDじゃなくてIPでもいいかもですね。IP+ユニークなIDでもいいですし。(IPだけだと同じルーター通すと同じになるかと思うので) まあ別に認証出来ればいいのでユニークなIDじゃなくても、対になる要素だったらキーとかでもいいですけどね。

u2025

2025/09/04 03:23

ああ、「トークン」って言葉の方が正しいですね。質問者さんの方が正しい知識がありそうです。

行動規範の内容に同意します

回答無いですね、、、、かなり無理筋ですから。
Bがクッキーを見てAにloginしていることを確認し login状態にする、ということは不可能では無いかも、とは思いますが、logout処理とかクッキーの寿命とか考えるとかなり手間の掛かる内容だと思います。
その工数を、「A,B 融合させて一つのサイトにする」というのに向けた方がお釣りが出るのでは？安定な運用にもつながりますし。

投稿2025/09/03 01:23

winterboum

総合スコア23676

nhonho

2025/09/04 03:07

ご回答ありがとうございます。追加で調べていたのですが、やはり難しいなあと考えていました、、、認証サーバー（OAuth2.0 + OpenId Connect）を導入して、サイトAでログインクリック ↓ 認証サーバーにリダイレクト ↓ ログイン情報入力・送信 ↓ 認証OKで認証サーバーでセッション作られる＆サイトAにリダイレクト＆IDトークン取得（IDトークンのsubにuser_idセット） ↓ サイトAでIDトークンをデコードしてsubからuser_idを取得し、ユーザー情報確認 ↓ サイトAでログイン状態にする ↓ サイトＢに遷移 ↓ ログインが必要なページ等にアクセス ↓ 認証サーバーにリダイレクト ↓ 認証サーバーのセッションがあればログイン情報入力を省いてサイトＢにリダイレクト ↓ サイトBでIDトークンをデコードしてsubからuser_idを取得し、ユーザー情報確認 ↓ サイトBでログイン状態にするみたいな感じでそれぞれのクライアントサイト側でもログインセッションをもつようにすれば、完全なログイン共有ではないですが、ＳＳＯを実現できますでしょうか。サイト側のログインが切れたら、認証サーバーで再認証するみたいな感じです。

winterboum

2025/09/04 07:07

「認証サーバーのセッションがあれば」 ⇐ これ取得できます？

u2025

2025/09/04 07:47

というか、そういう案があるのであれば、元からすべてのリクエストを一元管理するようにして、そこで認証(ログイン)を済ませて、内部リダイレクトさせることくらいできるのでは？

nhonho

2025/09/04 09:30

ご回答ありがとうございます。元からすべてのリクエストを一元管理するようにして、そこで認証(ログイン)を済ませて、内部リダイレクトさせることくらいできるのでは？について私の理解が追い付かずでして、、申し訳ございませんがもう少し詳細にうかがうことはできますでしょうか。よろしくお願いいたします。