<?php
/**
 * 多班级版班级管理系统 - Session 退出清除接口
 * 
 * 开发者: Canglan
 * 联系方式: admin@sea-studio.top
 * 版权归属: Sea Network Technology Studio
 * 许可证: Apache License 2.0
 * 
 * 版权所有 © Sea Network Technology Studio
 * 
 * 说明：退出登录时，清除 PHP Session
 */

// 引入配置文件以初始化 Session
require_once __DIR__ . '/../config.php';

// 设置响应头
header('Content-Type: application/json; charset=utf-8');

// 仅允许同源请求
header('Access-Control-Allow-Methods: POST, OPTIONS');
header('Access-Control-Allow-Headers: Content-Type');

// 处理预检请求
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
    http_response_code(200);
    exit();
}

// 只允许 POST 请求
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    echo json_encode([
        'success' => false,
        'message' => '仅支持 POST 请求'
    ]);
    exit();
}

// CSRF 风险说明：此接口仅清除 Session，无敏感数据操作。
// 部署于同域 Nginx 反代下，浏览器同源策略已阻止跨域调用，实际风险较低。
// 清除 Session
$_SESSION = array();

// 如果使用了 cookie，删除 cookie
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// 销毁 Session
session_destroy();

// 返回成功响应
http_response_code(200);
echo json_encode([
    'success' => true,
    'message' => 'Session 已清除'
]);
exit();