CORS通话后,Express会话cookie不会持续存在

时间:2018-12-27 21:43:58

标签: node.js session cookies cors cross-domain

我正在使用Express设置一个Node.JS服务器,该服务器在端口localhost:3005上运行。我有一个使用AngularJS开发的客户端,该客户端运行在端口localhost:5000上。

我设置了护照认证。当我尝试通过控制台或邮递员使用curl命令时,一切正常。

我先呼叫“ / login”路由(后),然后呼叫“ / authrequired”,以了解用户是否已通过身份验证。服务器可以通过存储在客户端的会话cookie来识别用户。一切正常。

实际上,每次我呼叫服务器时,都使用相同的会话ID来标识用户。例如:84e3ff8a-b237-4899-aa1f-4a3d047e0c3f。

但是,当我尝试使用Web客户端应用程序执行相同的路由时,它不起作用。每次我呼叫服务器时,都会定义一个新的会话ID。

这是标题请求:

Host: 127.0.0.1:3005
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept: application/json, text/plain, */*
Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://localhost:5000/
Content-Type: application/json;charset=utf-8
Content-Length: 33
Origin: http://localhost:5000
Connection: keep-alive

这是响应:

HTTP/1.1 200 OK
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Access-Control-Allow-Origin: *
Content-Type: application/json; charset=utf-8
Content-Length: 76
ETag: W/"4c-UHE7wFwyy1/IvgicFsT1YzsRJZ4"
set-cookie: connect.sid=s%3A91e84b8a-63d2-4f01-b28b-882ce1cf1dd5.iIGDvmpU326AF34uAXg%2Bmy1ee28BUGw8TXrFBG0ogKc; Path=/; Expires=Fri, 28 Dec 2018 18:30:50 GMT
Date: Thu, 27 Dec 2018 18:30:50 GMT
Connection: keep-alive

我们可以看到,存在一个set-cookie标头。但是,当我查看浏览器的cookie存储时,它并不存在。我认为这就是服务器无法识别客户端的原因,因为客户端不会将会话cookie发送到服务器。

这是我的服务器配置:

app.use(bodyParser.urlencoded({ extended: false }))
app.use(bodyParser.json())
app.use(cors())
app.use(express.static('data/images'))
app.use(cookieParser())
app.use(session({
  genid: (req) => {
    return uuid()
  },
  store: new FileStore(),
  secret: 'test',
  resave: false,
  saveUninitialized: false,
  cookie: {
    secure: false,
    httpOnly: false,
    path: '/',
    maxAge: 1000 * 60 * 60 * 24
  }
}))
app.use(passport.initialize())
app.use(passport.session())

这是我从客户端发出的请求:

$http.post(self.url + '/login', {
  idUser: $scope.name,
  password: $scope.password
}, {
  // withCredentials: true
})

我还将这两行配置添加到我的客户端应用程序中:

$httpProvider.defaults.useXDomain = true;
delete $httpProvider.defaults.headers.common['X-Requested-With'];

当我将“ withCredentials”选项添加为true时,我从网络浏览器中遇到了一个错误: 从源“ http://127.0.0.1:3005/login”对“ http://localhost:5000”处XMLHttpRequest的访问已被CORS策略阻止:对预检请求的响应未通过访问控制检查:“ Access-Control-Allow-当请求的凭据模式为“ include”时,响应中的“ Origin”标头不得为通配符“ *”。 XMLHttpRequest发起的请求的凭据模式由withCredentials属性控制。

我尝试了很多来自stackoverflow的解决方案,但是失败了。

我希望使用相同的会话ID来执行身份验证。

1 个答案:

答案 0 :(得分:0)

您不能在“ Access-Control-Allow-Origin”中为使用通配符的服务器设置“ withCredentials”标志。您必须返回特定值“ http://localhost:5000”,并添加具有值“ true”的标头Access-Control-Allow-Credentials。然后凭据将随请求一起发送。

相关问题
最新问题