我正在为我认识的几个人构建一个小型的晚餐/计划管理应用程序(使用微服务),目的是让每个人都可以登录到自己的帐户,然后使用不记名令牌(bearer token,JWT)对其他服务进行身份验证。
此持有人令牌存储在cookie中。但是,在设置cookie后,我找不到此cookie,我尝试再次检索它。
最终导致错误
http: named cookie not present
为什么请求的响应主体是空的?为什么没有任何cookie随GET请求一起发送?我该如何解决这个问题?
我在网上搜索了一下,尝试了以下方法
- 网络/http cookie**:这个实现看起来是最简单的,也是我在这里展示的,看起来这个小例子应该可以工作。
- Cookiejar实施**:我尝试使用cookiejar实现来设置和检索浏览器和 Postman 的cookie,但是结果是一样的。https://golang.org/pkg/net/http/cookiejar/?m=all#New
- 设置为特定URL和额外GET请求**:我试着把cookie放在我域中不同的特定URL上。在某个时候,似乎cookie只能从某个特定的绝对URL中检索,事实并非如此。
- http转储请求输出**:我发现net/http的实用程序包有一个名为DumpRequestOut的函数,这个函数本来可以从请求中提取正文,但这也是空的。
- 将cookie "安全"标志设置为假**:我发现一个建议,安全标志使cookie无法读取。不幸的是,更改安全标志没有效果。
Postman清楚地显示cookie确实存在,我的浏览器(firefox)也显示cookie存在,但它们被赋予了一个相当抽象的名称,Postman请求可以在https://www.getpostman.com/collections/fccea5d5dc22e7107664中找到
如果我尝试使用golang的"net/http"包检索cookie,响应正文将为空。
我设置了会话令牌,并在验证了用户/密码组合之后直接重定向客户端。
// SetTokenAndRedirect sets an access token to the cookies
func SetTokenAndRedirect(w http.ResponseWriter, r *http.Request, db *mgo.Session, u *user.User, redirectURL string) *handler.AppError {
// Generate a unique ID for the session token.
tokenID := uuid.Must(uuid.NewV4()).String()
//set the expiration time (found in config.config.go)
expirationTime := time.Now().Add(config.ExpireTime)
// Set the cookie with the JWT
http.SetCookie(w, &http.Cookie{
Name: config.AccessTokenName,
Value: createToken(u.UserID, expirationTime, tokenID, r.Header.Get("User-Agent")),
Expires: expirationTime,
HttpOnly: true,
Secure: false,
})
// Redirects user to provided redirect URL
if redirectURL == "" {
return handler.AppErrorf(417, nil, "No redirect URL has been provided")
}
http.Redirect(w, r, redirectURL, 200)
return nil
}
我尝试验证传入的请求和JWT令牌,如下所示。
一个二个一个一个
- 设置cookie**时,请求的结构如下
// Pretty printed version
Host: localhost:8080
content-type: application/json
user-agent: PostmanRuntime/7.11.0
cache-control: no-cache
accept-encoding: gzip, deflate
content-length: 68
connection: keep-alive
accept: */*
postman-token: 36268859-a342-4630-9fb4-c286f76d868b
cookie: access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiUG9zdG1hblJ1bnRpbWUvNy4xMS4wIiwiZXhwIjoxNTU2MjA0MTg3LCJqdGkiOiJlZDlmMThhZi01NTAwLTQ0YTEtYmRkZi02M2E4YWVhM2M0ZDEiLCJpYXQiOjE1NTYyMDM1ODcsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.bssnjTZ8woKwIncdz_EOwYbCtt9t6V-7PmLxfq7GVyo
// Raw Version
&{POST /auth/users/login?redirect=/ HTTP/1.1 1 1 map[Cache-Control:[no-cache] Postman-Token:[d33a093e-c7ab-4eba-8c1e-914e85a0d289] Cookie:[access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiUG9zdG1hblJ1bnRpbWUvNy4xMS4wIiwiZXhwIjoxNTU2MjA0NDU4LCJqdGkiOiIzOTk1MmI1NS0yOWQzLTQ4NGQtODhhNC1iMDlhYmI1OWEyNzgiLCJpYXQiOjE1NTYyMDM4NTgsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.DFA7KBET3C2q1A9N1hXGMT0QbabHgaVcDBpAYpBdbi8] Accept-Encoding:[gzip, deflate] Connection:[keep-alive] Content-Type:[application/json] User-Agent:[PostmanRuntime/7.11.0] Accept:[*/*] Content-Length:[68]] 0xc0001ba140 <nil> 68 [] false localhost:8080 map[redirect:[/]] map[] <nil> map[] [::1]:36584 /auth/users/login?redirect=/ <nil> <nil> <nil> 0xc00016a2a0}
- 获取Cookie**时,请求的结构如下
// Pretty printed version
Host: localhost:8080
cache-control: no-cache
postman-token: 20f7584f-b59d-46d8-b50f-7040d9d40062
accept-encoding: gzip, deflate
connection: keep-alive
user-agent: PostmanRuntime/7.11.0
accept: */*
// Raw version
2019/04/25 12:22:56 &{GET /path/provide HTTP/1.1 1 1 map[User-Agent:[PostmanRuntime/7.11.0] Accept:[*/*] Cache-Control:[no-cache] Postman-Token:[b79a73a3-3e08-48a4-b350-6bde4ac38d23] Accept-Encoding:[gzip, deflate] Connection:[keep-alive]] {} <nil> 0 [] false localhost:8080 map[] map[] <nil> map[] [::1]:35884 /path/provide <nil> <nil> <nil> 0xc000138240}
当设置库克时,响应的结构如下
response Headers: map[Location:[/] Set-Cookie:[access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiR28taHR0cC1jbGllbnQvMS4xIiwiZXhwIjoxNTU2MjI4ODIyLCJqdGkiOiJlY2Q2NWRkZi1jZjViLTQ4N2YtYTNkYy00NmM3N2IyMmUzMWUiLCJpYXQiOjE1NTYyMjgyMjIsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.0sOvEzQS2gczjWSmtVSD_u0qMV2L7M4hKF1KUM08-bQ; Expires=Thu, 25 Apr 2019 21:47:02 GMT; HttpOnly] Date:[Thu, 25 Apr 2019 21:37:02 GMT] Content-Length:[0]]
我希望Authorize函数返回nil。另外,如果我添加以下代码,我希望有一些cookie存在。
for _, cookie := range r.Cookies() {
fmt.Fprint(w, cookie.Name)
}
但是,Authorize函数返回标题中的错误,printf不会打印出任何cookie。
3条答案
按热度按时间tkqqtvp11#
请记住设置Cookie的路径:
如果不这样做,路径将是当前请求的路径,因此cookie将只能从这个确切的路径获得。
lyfkaqu12#
当我从postman发送
/login
post请求时,后端成功设置了cookie,令牌cookie伴随着后续请求。当我尝试使用React应用程序的端点时,cookie没有正确设置,并在后续请求期间发送。问题是当启用cors时,我们需要在both /login端点期间传递credentials: include
(设置cookie的服务器)和随后的cookie请求以设置并发送回服务器。我使用的是fetch API,如果启用cors
,则需要明确提及credentials: include
。在后端,我们需要指定来源,因为使用
credentials: 'include'
时不接受allow all origin。与此问题相关的一些解决方案建议禁用HttpOnly and Secure
。下面是我在阅读与HttpOnly和Secure相关的文档时的注意事项。对于我的问题,这两个文档都没有提到这个问题。HttpOnly -确保Javascript无法访问Cookie。
安全-仅通过https或本地主机发送cookie。
enxuqcxy3#
您正在查找名称错误的cookie。
config.AccessTokenName == "access_token"?
(我认为不是)。但您正在尝试获取名称为access_token
的cookie。这是一个工作示例代码,在POSTMAN和Web浏览器上进行了测试。
对于进一步实验或如果需要:在写入任何其他内容之前设置头(包括cookie)。
可以在here中找到一个很好的讨论