Set-Cookie 来自服务器的响应,但不存储在存储 cookie 中

【问题标题】:Set-Cookie in response from server but not stored in storage cookieSet-Cookie 来自服务器的响应,但不存储在存储 cookie 中
【发布时间】:2020-04-21 09:16:36
【问题描述】:

我的 Graphql 服务器有问题,并且响应前端。

提交“登录”突变时,会正确处理突变并接收数据。 “Set-Cookie”在响应标头中接收,但未存储在浏览器 cookie 中。
我已经尝试过 Stack Overflow 上无数其他讨论中提出的解决方案,但无济于事。

这是我的后端代码:

index.js

    const express = require("express");
    const mongoose = require("mongoose");
    const { ApolloServer, AuthenticationError } = require("apollo-server-express");
    const cors = require("cors");
    const cookieParser = require("cookie-parser");
    const jwt = require("jsonwebtoken");
    const resolvers = require("./graphql/resolvers");
    const typeDefs = require("./graphql/typeDefs");
    require("dotenv").config();

    const users = [
      {
        id: 1,
        name: "Test user",
        email: "your@email.com",
        password: "$2b$10$ahs7h0hNH8ffAVg6PwgovO3AVzn1izNFHn.su9gcJnUWUzb2Rcb2W" // = ssseeeecrreeet
      }
    ];

    mongoose
      .connect(process.env.MONGO_URI, {
        useNewUrlParser: true,
        useUnifiedTopology: true
      })
      .then(() => console.log("DB Connected"))
      .catch(err => console.error(err));

    const corsOptions = {
      credentials: true,
      origin: "http://localhost:3000"
    };
    const app = express();
    const port = 4000;
    app.use(cors(corsOptions));
    app.use(cookieParser());
    app.use(express.json());
    app.use(express.urlencoded({ extended: true }));

    const context = async request => {
      let authToken = null;
      let currentUser = null;
      const { headers } = request.req;
      try {
        authToken = headers.authorization || "";
        if (authToken) {
          currentUser = jwt.verify(authToken, process.env.SECRET_KEY);
        }
      } catch (error) {
        throw new AuthenticationError(
          "Authentication token is invalid, please log in"
        );
      }
      return { request, currentUser };
    };

    const server = new ApolloServer({
      typeDefs,
      resolvers,
      context
    });

    server.applyMiddleware({ app, path: "/graphql" });

    app.listen(port, () => console.log(`Server started: http://localhost:${port}`));

resolvers.js

module.exports = {
  Mutation: {
    signin: async (root, args, ctx) => {
      console.log(ctx.currentUser);
      // Make email lowercase
      const email = args.email.toLowerCase();
      // Check if User exists
      const userExist = await User.findOne({ email });
      if (!userExist) {
        throw new Error("User does not exist, please signup for new account");
      }
      // Check if passwords match
      const match = await bcrypt.compare(args.password, userExist.password);
      if (!match) {
        throw new Error("Invalid username or Password");
      }
      // Create a token and assign
      const token = jwt.sign(
        { email: userExist.email, id: userExist._id },
        process.env.SECRET_KEY,
        { expiresIn: "1day" }
      );
      // Assign to cookie
      ctx.request.res.cookie("token", token, {
        httpOnly: true,
        maxAge: 60 * 60 // 1 Hour
        // secure: true, //on HTTPS
        // domain: 'example.com', //set your domain
      });
      return userExist;
    }
  }
};

然后在客户端(React)端:

import React, { useContext, useReducer } from "react";
import ReactDOM from "react-dom";
import { BrowserRouter as Router, Route, Switch } from "react-router-dom";

import App from "./App";
import Splash from "./pages/Splash";
import Context from "./context";
import reducer from "./reducer";
import ProtectedRoute from "./ProtectedRoute";

import * as serviceWorker from "./serviceWorker";

import { ApolloProvider } from "react-apollo";
import { ApolloClient } from "apollo-client";
import { createHttpLink } from "apollo-link-http";
import { InMemoryCache } from "apollo-cache-inmemory";

const client = new ApolloClient({
  link: createHttpLink({
    uri: "http://localhost:4000/graphql",
    credentials: "include"
  }),
  cache: new InMemoryCache()
});

const Root = () => {
  const initialState = useContext(Context);
  const [state, dispatch] = useReducer(reducer, initialState);

  return (
    <Router>
      <ApolloProvider client={client}>
        <Context.Provider value={{ state, dispatch }}>
          <Switch>
            <ProtectedRoute exact path="/" component={App} />
            <Route path="/login" component={Splash} />
          </Switch>
        </Context.Provider>
      </ApolloProvider>
    </Router>
  );
};

ReactDOM.render(<Root />, document.getElementById("root"));

Login.js 组件

// Imports Omitted

export default function SignIn() {

const onSubmit = async ({ email, password }) => {
    const variables = { email, password };
    const client = new GraphQLClient(BASE_URL);
    const data = await client.request(SIGNIN_MUTATION, variables);
    console.log(data);
  };


// return info omitted

【问题讨论】:

  • 我遇到了同样的问题,你解决了吗?
  • 我也遇到了同样的问题,请问有人解决了吗?
  • 这个问题的正确解决方案是什么

标签: reactjs cookies graphql setcookie


【解决方案1】:

在响应标头中有标头并不意味着您可以使用它们 无论 api 或 webserver 是什么,您都应该将 set-cookie 放入 Access-Control-Allow-Headers 以让浏览器使用给定的 cookie

【讨论】:

  • 谢谢...嗯,我该怎么做呢?是服务端还是客户端做的?
  • 是的,你应该在服务器端设置 Access-Control-Allow-Origin 为 '*'
  • const corsOptions = { // origin: "localhost:3000", origin: '*', credentials: true } 我假设你的意思是这样的。不工作
  • PS,我似乎只有使用 graphql 才有这个问题。如果我使用来自客户端的标准 axios 请求和服务器上的简单 /login 路由,它就可以正常工作。我宁愿坚持使用一种 API 技术。
  • 如果您从 'api.foo.com' 调用 api,并且在响应标头中看到 set-cookie,它将仅在浏览器的 'api.foo.com' 域中设置,但当您设置凭据时,它也会允许其他页面访问它,例如,如果您从另一个名为“bar.foo.com”的地址调用该 api,并且凭据设置为 true,您可以访问它,但是,您可以访问仅当访问控制中允许设置 cookie 标头时才允许标头 Access-Control-Allow-Headers = *
【解决方案2】:

在您的 resolver.js 中将 SameSite:None 更改为 SameSite:Lax

ctx.request.res.cookie("token", token, {
     httpOnly: true,
     maxAge: 60 * 60 // 1 Hour
     // secure: true, //on HTTPS
     // domain: 'example.com', //set your domain
     sameSite: 'lax',
    }

参考:

https://web.dev/samesite-cookies-explained/#explicitly-state-cookie-usage-with-the-samesite-attribute

https://github.com/GoogleChromeLabs/samesite-examples/blob/master/javascript-nodejs.md

【讨论】:

    【解决方案3】:

    这个配置对我有用。

    cookie的这个配置

    cookie: {
    path: '/',
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    sameSite: true,
    maxAge: 60000, //time exp
    domain: 'localhost' //or other domain
  }

    CORS / nodeJs 的配置

    configCors = {
  origin: [`http://${process.env.SERVER_NAME}`, 'http://localhost:3000'],
  credentials: true
}

    最后,作为“包括”阿波罗凭据 我有同样的问题,但我用 graphql 凭据(Apollo)解决了它

    【讨论】:

      【解决方案4】:

      [编辑]: 缺少的路径和“Access-Control-Allow-Headers” - “Origin, X-Requested-With, Content-Type, Accept” 会导致 Chrome(或更新的浏览器)多次出现问题。可以HttpOnly和SameSite=Strict,但不要忘记添加缺少的属性。

      补充说明: 可能是安全机制造成的:

      选项 A.) - 代理方式

      1.) 确保在前端的 package.json 中使用代理与后端的端点相同。

      喜欢:

      "proxy": "http://localhost:8080/api/auth"

      如果您在 :8080 上运行后端。

      2.) 在您的服务文件(或您想调用后端的任何地方)中,相对路径就足够了,因此您无需指定整个路径,这要归功于代理服务器 url。

      喜欢:

      ...

        return axios
    .post("/signin", {
      username,
      password,
    })

      ...

      有关同源策略的更多信息: https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

      选项 B.) - CORS 方式

      对于 Spring 用户:除了提到的标头设置之外,不要忘记将 @CrossOrigin origins 和 allowCredentials 设置为 true。 喜欢:

      @CrossOrigin(origins = {"http://127.0.0.1:8089", "http://localhost:3001"}, allowCredentials = "true")

      希望对某人有所帮助。 快乐的黑客攻击!

      【讨论】:

        猜你喜欢
        • 2015-07-05
        • 2023-03-25
        • 1970-01-01
        • 2017-07-22
        • 1970-01-01
        • 2020-05-05
        • 2018-11-16
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode