登录
首页 >  Golang >  Go问答

无法通过 Go API 在客户端中设置 cookie

来源:stackoverflow

时间:2024-04-01 19:06:35 486浏览 收藏

欢迎各位小伙伴来到golang学习网,相聚于此都是缘哈哈哈!今天我给大家带来《无法通过 Go API 在客户端中设置 cookie》,这篇文章主要讲到等等知识,如果你对Golang相关的知识非常感兴趣或者正在自学,都可以关注我,我会持续更新相关文章!当然,有什么建议也欢迎在评论留言提出!一起学习!

问题内容

我有一个用 go 编写的后端,托管在 heroku 上,我们称之为 https://foo.herokuapp.com。我有一个托管在不同域上的前端,我们称之为 https://ui.example.com。 后端api有一个端点/api/user/login,它以cookie的形式发回json web token,如下所示:

http.setcookie(w, &http.cookie{
        name:     "token",
        value:    token, // the jwt
        httponly: false, // for testing, set to true later once i fix this
        maxage:   int(time.hour * 24 * 3),
        expires:  time.now().utc().add(time.hour * 24 * 3),
        path:     "/",
        secure:   true,
        samesite: http.samesitenonemode,
})

这些是我在服务器上的 cors 设置。

crossorigin := cors.new(cors.options{
        allowedorigins:   []string{allowedorigin},
        allowcredentials: true,
        allowedmethods:   []string{http.methodget, http.methodpost, http.methodput},
})

前端向后端发出请求,如下所示。

const endpoint = "/api/user/login/"
    fetch(host + endpoint, {
        method: "post",
        credentials: 'include',
        body: json.stringify({
            email,
            password
        })
    }).then((response) => console.log(response))
    .catch((err) => console.log(err));

问题: 现在这个 cookie 实际上在我的浏览器的“网络”选项卡中可见。

但是应用程序选项卡(或 firefox 中存在 cookie 的存储选项卡)中不存在 cookie。浏览器不保存 cookie,这导致后续请求失败,因为在处理实际请求之前会验证和解码 cookie 中的令牌。

在另一个有些相关的线程中,我了解到 heroku 在到达我的应用程序之前终止了 ssl。并且,因此无法为非 ssl 流量设置安全 cookie。那里的解决方案建议信任 x-forwarded-for 中找到的方案。我使用 https://github.com/gorilla/handlers 包启用了该功能,如下所示。

// srv is my actual handler
// crossOrigin is the CORS middleware
// finally wrapped by ProxyHeaders middleware
handlers.ProxyHeaders(crossOrigin.Handler(srv))

但这不起作用。

我读了很多帖子/博客。到目前为止还没有任何效果。我做错了什么?


正确答案


Cookie 由浏览器为最初设置 Cookie 的域保存。只是因为您在“应用程序”选项卡中看不到 cookie,并不意味着 cookie 未保存。

如果您的前端 https://ui.example.comhttps://foo.herokuapp.com 进行 XHR 调用,并且该调用返回 Set-Cookie 标头,则浏览器会将该 cookie 保存在 foo.herokuapp 下。 com 域。您不会在 ui.example.com 的“应用程序”选项卡中看到它。不过,当您再次对 foo.herokuapp.com 进行 XHR 调用时,浏览器将发送您之前设置的 cookie。

您可以进行以下实验:登录后,打开一个新选项卡并导航到 https://foo.herokuapp.com。现在打开“应用程序”选项卡,您应该在那里看到您的 cookie。

也就是说,请记住,浏览器会将这些 Cookie 视为第 3 方 Cookie,并且浏览器供应商最终将放弃对第 3 方 Cookie 的支持。最终,您应该确保您的前端和后端由同一父域提供服务。

至于另一个问题 - Heroku 在其网关和您的应用程序之间终止 SSL 不是问题。 cookie 上的 secure 标志是浏览器的信息 - 浏览器不会通过非 SSL 连接接受或发送带有此标志的 cookie。您的浏览器和heroku服务器之间的连接是SSL,因此cookies将被接受/发送。在您的后端中,cookie 只是 HTTP 标头,后端并不真正关心 cookie 的标志或连接类型。

文中关于的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《无法通过 Go API 在客户端中设置 cookie》文章吧,也可关注golang学习网公众号了解相关技术文章。

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>