Express会话cookie在CORS调用后不能持久化。
Express会话cookie在CORS调用后不能持久化。
此问题已有答案:
我正在设置一个运行在本地主机端口 localhost:3005 上的 Express Node.JS 服务器,我编写了一个使用 AngularJS 开发的客户端,运行在本地主机端口 localhost:5000 上。
我设置了护照验证。通过控制台的 curl 命令或通过 postman 尝试一切都运行良好。
我正在调用“/login”路由(post),然后调用“/authrequired”以了解用户是否已验证。服务器可以通过存储在客户端上的会话 cookie 标识用户。一切都很正常。
事实上,每次我调用服务器时,用户都会使用相同的会话 ID 进行标识。例如:84e3ff8a-b237-4899-aa1f-4a3d047e0c3f。
但是,当我尝试使用我的 Web 客户端应用程序相同的路由时,它不起作用。每次我调用服务器时,都会定义一个新的会话 ID。
这是请求标头:
Host: 127.0.0.1:3005 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0 Accept: application/json, text/plain, */* Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://localhost:5000/ Content-Type: application/json;charset=utf-8 Content-Length: 33 Origin: http://localhost:5000 Connection: keep-alive
这是响应:
HTTP/1.1 200 OK X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Access-Control-Allow-Origin: * Content-Type: application/json; charset=utf-8 Content-Length: 76 ETag: W/"4c-UHE7wFwyy1/IvgicFsT1YzsRJZ4" set-cookie: connect.sid=s%3A91e84b8a-63d2-4f01-b28b-882ce1cf1dd5.iIGDvmpU326AF34uAXg%2Bmy1ee28BUGw8TXrFBG0ogKc; Path=/; Expires=Fri, 28 Dec 2018 18:30:50 GMT Date: Thu, 27 Dec 2018 18:30:50 GMT Connection: keep-alive
正如我们所看到的,已存在一个 set-cookie 标头。但是当我查看浏览器中的 cookie 存储时,它不存在。我认为这就是服务器无法识别客户端的原因,因为客户端不会将会话 cookie 发送到服务器。
这是我的服务器配置:
app.use(bodyParser.urlencoded({ extended: false }))
app.use(bodyParser.json())
app.use(cors())
app.use(express.static('data/images'))
app.use(cookieParser())
app.use(session({
genid: (req) => {
return uuid()
},
store: new FileStore(),
secret: 'test',
resave: false,
saveUninitialized: false,
cookie: {
secure: false,
httpOnly: false,
path: '/',
maxAge: 1000 * 60 * 60 * 24
}
}))
app.use(passport.initialize())
app.use(passport.session())
这是我来自客户端的请求:
$http.post(self.url + '/login', {
idUser: $scope.name,
password: $scope.password
}, {
// withCredentials: true
})
我还将这两行配置添加到我的客户端应用程序中:
$httpProvider.defaults.useXDomain = true; delete $httpProvider.defaults.headers.common['X-Requested-With'];
当我将 \"withCredentials\" 选项设置为 true 时,我从 Web 浏览器获得错误:
访问 \'http://127.0.0.1:3005/login\' 来自源 \'http://localhost:5000\' 已被 CORS 策略阻止:响应预检请求未通过访问控件检查:当请求的凭据模式是 \'include\' 时,\'Access-Control-Allow-Origin\' 头的值不能为通配符 \'*\'。XMLHttpRequest 发起的请求的凭据模式由 withCredentials 属性控制。
我尝试了很多来自 stackoverflow 的解决方案,但失败了。
我期望具有相同的会话 ID,以执行身份验证。
不能为使用通配符的服务器设置“withCredentials”标志在“Access-Control-Allow-Origin”中。您必须返回特定值 "http://localhost:5000" 并添加带有值“true”的Access-Control-Allow-Credentials标头。然后凭据将随请求发送。