cookie信息无法获取问题研究

背景

在oneapi这个前后端都有的开源项目中,我想接入chatnextweb到oneapi的后端。

由于需要二开chatnextweb,添加登录注册功能,考虑到java后端的性能问题和内存占用,决定不重启写个服务,而是将登录注册接入到oneapi的登录注册api,没错,和oneapi的前端公用一套登录注册

熬了个大夜后,终于对接好了登录注册,并且数据写成功的流转了起来。

就在我以为没问题的时候,问题来了,前端在使用登录后的功能时,自动跳转到了登录页面,没错,前端判定当前页面出于未登录的状态。于是麻烦的debug开始了......

问题分析过程

梳理了一遍前端代码逻辑,关于是否登录的判断取决于token是否为空,在登录后,前端会将获取到了token暂存

紧接着在调用其他登录后的界面时,前端判断token是否为空,如果为空就不展示,并且跳转到登录界面,以下截图效果差不多,虽然没有登录跳转逻辑,但也放上来了

经过debug后,发现后端返回的token为空,梳理了后端代码,发现后端的鉴权是通过cookie和session,前端是通过token,但是问题不大,后端在注册时也会生成token,只需要调用获取token的接口即可。

于是我这么做了,新的问题也这么来了,鉴权失败,后端解析cookie里面的用户数据,解析为空.......

又分析了一波后端代码,发现在登录时,后端会将用户信息封装到session里面,然后保存到cookie中

最后封装后的cookie是这样的:

session=MTY5NTAwNTA3N3xEWDhFQVFMX2dBQUJFQUVRQUFCc180QUFCQVp6ZEhKcGJtY01CQUFDYVdRRGFXNTBCQUlBQWdaemRISnBibWNNQ2dBSWRYTmxjbTVoYldVR2MzUnlhVzVuREFZQUJISnZiM1FHYzNSeWFXNW5EQVlBQkhKdmJHVURhVzUwQkFNQV84Z0djM1J5YVc1bkRBZ0FCbk4wWVhSMWN3TnBiblFFQWdBQ3y5yImQjaV60qV8krs0fEG0tfGUzIu6sOCXYOTtpJaUlw==; Path=/; Expires=Wed, 18 Oct 2023 02:44:37 GMT; Max-Age=2592000

那么为什么会解析为空呢?oneapi自带的前端能正常解析,但新接入的前端解析就为空,为什么呢?网上给出的答案是因为跨域了,导致传入的cookie是新的cookie,所以没有数据,抱着怀疑的态度,我在后端写了一个获取cookie中用户数据的接口,并通过postman进行调用,尝试验证传入的cookie。

果然,网上果然不是很靠谱,用户数据成功解析,传入的cookie没有问题。

继续分析,说是非同源跨域导致的,cookie无法传入到后端,我想了想,前端调用localhost:3001/getCookie,然后转发到localhost:3000/getCookie,确实是非同源跨域,于是有了两种解决方案

  1. 使用代理
  2. 手动传入Cookie

使用代理

按照oneapi前端设置代理的方法进行设置,发现不可行,暂时放弃这条思路(感觉深究下去,使用代理是一定可行的,比如使用nginx等。)

手动传入Cookie

主要是想尝试一下手动传入Cookie,因为有大佬说它就是采用这种方案

居然还是解析失败,这就奇怪了

除了手动传入cookie,我还尝试添加 credentials: 'include',作用是即使跨域,也能成功传入cookie,但也不行

于是又开始了debug的过程,看了很多篇博客后,找到一个思路可行的,说后端需要配置跨域访问,记得之前看到过后端跨域的代码,又翻出来看了看,发现了问题:

func CORS() gin.HandlerFunc {
	config := cors.DefaultConfig()
	config.AllowAllOrigins = true
	config.AllowCredentials = true
	config.AllowMethods = []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"}
	config.AllowHeaders = []string{"*"}
	return cors.New(config)
}

func DefaultConfig() Config {
	return Config{
		AllowMethods:     []string{"GET", "POST", "PUT", "PATCH", "DELETE", "HEAD", "OPTIONS"},
		AllowHeaders:     []string{"Origin", "Content-Length", "Content-Type"},
		AllowCredentials: false,
		MaxAge:           12 * time.Hour,
	}
}

问题就出在 AllowCredentials: false, 这一行,chatgpt告诉我,这代表了后端设置了不允许跨域认证,就是说你可以跨域,但不可以认证鉴权

所以前端调用不管是 手动传入cookie,还是添加 credentials: 'include',都不行,因为跨域了。

那么解决办法就很明显了,不要让它跨域,又得出了两个解决方案,使用代理,或者写全url。

关于写完整domain(就是url)

如果不写全量url,最后访问的是3001,也就是前端地址,然后前端再通过next等某些操作进行转发到3000(没细看),也就导致了非同源

所以需要写完整domain,并且可以不用手动传cookie

fetch('http://localhost:3000/api/user/token', {
  method: 'GET',
  headers: {
    "Content-Type": "application/json",
  },
})

总结

成功传入cookie的方案总结:

  1. 使用代理
  2. 使用全量domain
相关推荐
wrx繁星点点6 小时前
状态模式(State Pattern)详解
java·开发语言·ui·设计模式·状态模式
JungleCoding6 小时前
403 Request Entity Too Lager(请求体太大啦)
状态模式
XYX的Blog1 天前
设计模式09-行为型模式2(状态模式/策略模式/Java)
设计模式·状态模式·策略模式
kevin_tech1 天前
Go API 多种响应的规范化处理和简化策略
开发语言·后端·golang·状态模式
denghai邓海2 天前
基于势能的平面运动模拟
python·平面·状态模式
JAVA开发区3 天前
设计模式之状态模式
设计模式·状态模式·状态转换
cgv35 天前
springboot2.x使用SSE方式代理或者转发其他流式接口
状态模式·springboot sse·sse流式接口·see代理流式接口·sse转发流式接口
mushangqiujin5 天前
ctfshow web入门文件上传总结
网络安全·状态模式
Yvemil75 天前
“高效开发之路:用Spring MVC构建健壮的企业级应用”
状态模式
wrx繁星点点7 天前
状态模式:封装对象状态并改变行为的设计模式
java·开发语言·spring·ui·设计模式·状态模式