服务器响应中设置了Set-Cookie，但未在存储cookie中保存

Question

服务器响应中设置了Set-Cookie，但未在存储cookie中保存

reactjscookiesgraphqlsetcookie

8

我有一个关于Graphql服务器和React前端的问题。

在提交“signin”突变时，该突变被正确处理并接收到数据。 “Set-Cookie”在响应标头中接收到，但未存储在浏览器cookie中。
我尝试了来自Stack Overflow的无数其他讨论中提出的解决方案，但都无济于事。

这是我的后端代码：

index.js

    const express = require("express");
    const mongoose = require("mongoose");
    const { ApolloServer, AuthenticationError } = require("apollo-server-express");
    const cors = require("cors");
    const cookieParser = require("cookie-parser");
    const jwt = require("jsonwebtoken");
    const resolvers = require("./graphql/resolvers");
    const typeDefs = require("./graphql/typeDefs");
    require("dotenv").config();

    const users = [
      {
        id: 1,
        name: "Test user",
        email: "your@email.com",
        password: "$2b$10$ahs7h0hNH8ffAVg6PwgovO3AVzn1izNFHn.su9gcJnUWUzb2Rcb2W" // = ssseeeecrreeet
      }
    ];

    mongoose
      .connect(process.env.MONGO_URI, {
        useNewUrlParser: true,
        useUnifiedTopology: true
      })
      .then(() => console.log("DB Connected"))
      .catch(err => console.error(err));

    const corsOptions = {
      credentials: true,
      origin: "http://localhost:3000"
    };
    const app = express();
    const port = 4000;
    app.use(cors(corsOptions));
    app.use(cookieParser());
    app.use(express.json());
    app.use(express.urlencoded({ extended: true }));

    const context = async request => {
      let authToken = null;
      let currentUser = null;
      const { headers } = request.req;
      try {
        authToken = headers.authorization || "";
        if (authToken) {
          currentUser = jwt.verify(authToken, process.env.SECRET_KEY);
        }
      } catch (error) {
        throw new AuthenticationError(
          "Authentication token is invalid, please log in"
        );
      }
      return { request, currentUser };
    };

    const server = new ApolloServer({
      typeDefs,
      resolvers,
      context
    });

    server.applyMiddleware({ app, path: "/graphql" });

    app.listen(port, () => console.log(`Server started: http://localhost:${port}`));

resolvers.js

module.exports = {
  Mutation: {
    signin: async (root, args, ctx) => {
      console.log(ctx.currentUser);
      // Make email lowercase
      const email = args.email.toLowerCase();
      // Check if User exists
      const userExist = await User.findOne({ email });
      if (!userExist) {
        throw new Error("User does not exist, please signup for new account");
      }
      // Check if passwords match
      const match = await bcrypt.compare(args.password, userExist.password);
      if (!match) {
        throw new Error("Invalid username or Password");
      }
      // Create a token and assign
      const token = jwt.sign(
        { email: userExist.email, id: userExist._id },
        process.env.SECRET_KEY,
        { expiresIn: "1day" }
      );
      // Assign to cookie
      ctx.request.res.cookie("token", token, {
        httpOnly: true,
        maxAge: 60 * 60 // 1 Hour
        // secure: true, //on HTTPS
        // domain: 'example.com', //set your domain
      });
      return userExist;
    }
  }
};

然后在客户端 (React) 端：

import React, { useContext, useReducer } from "react";
import ReactDOM from "react-dom";
import { BrowserRouter as Router, Route, Switch } from "react-router-dom";

import App from "./App";
import Splash from "./pages/Splash";
import Context from "./context";
import reducer from "./reducer";
import ProtectedRoute from "./ProtectedRoute";

import * as serviceWorker from "./serviceWorker";

import { ApolloProvider } from "react-apollo";
import { ApolloClient } from "apollo-client";
import { createHttpLink } from "apollo-link-http";
import { InMemoryCache } from "apollo-cache-inmemory";

const client = new ApolloClient({
  link: createHttpLink({
    uri: "http://localhost:4000/graphql",
    credentials: "include"
  }),
  cache: new InMemoryCache()
});

const Root = () => {
  const initialState = useContext(Context);
  const [state, dispatch] = useReducer(reducer, initialState);

  return (
    <Router>
      <ApolloProvider client={client}>
        <Context.Provider value={{ state, dispatch }}>
          <Switch>
            <ProtectedRoute exact path="/" component={App} />
            <Route path="/login" component={Splash} />
          </Switch>
        </Context.Provider>
      </ApolloProvider>
    </Router>
  );
};

ReactDOM.render(<Root />, document.getElementById("root"));

Login.js组件

// Imports Omitted

export default function SignIn() {

const onSubmit = async ({ email, password }) => {
    const variables = { email, password };
    const client = new GraphQLClient(BASE_URL);
    const data = await client.request(SIGNIN_MUTATION, variables);
    console.log(data);
  };


// return info omitted

- Stephan Du Toit

1

我也遇到了同样的问题，伙计，你解决了吗？ - chichi

我也遇到了同样的问题，有人解决了吗？ - Dastan

这个问题的正确解决方案是什么？ - Aman Raj

4个回答

1

在响应头中添加头信息并不意味着您可以随意使用它们。无论是API还是Web服务器，您都应该将“Set-Cookie”放入“Access-Control-Allow-Headers”中，以便浏览器可以使用给定的Cookie。

- reza erami

谢谢...嗯，我该如何做呢？这是在服务器端还是客户端完成的？ - Stephan Du Toit

是的，你应该在服务器端完成这件事将Access-Control-Allow-Origin设置为'*' - reza erami

const corsOptions = { // origin: "http://localhost:3000", origin: '*', credentials: true } 我猜你的意思是这样的。但是它不起作用。 - Stephan Du Toit

1

PS，我似乎只在使用graphql时遇到了这个问题。如果我从客户端使用标准的axios请求和一个简单的/login路由器在服务器上，它就可以正常工作。我更喜欢坚持使用一种API技术。 - Stephan Du Toit

如果你从 'api.foo.com' 调用 API，并在响应的头部看到了 set-cookie ，它只会在浏览器中设定为 'api.foo.com' 的域名。但是，当你设置凭据时，其他页面也可以访问它。例如，如果你在另一个地址 'bar.foo.com' 中调用该 API，设置凭证为 true，则可以访问它，但是只有在访问控制允许头文件中允许 set-cookie 头时才能访问。Access-Control-Allow-Headers = * - reza erami

1

[编辑]: 缺少路径和"Access-Control-Allow-Headers" - "Origin, X-Requested-With, Content-Type, Accept"在Chrome（或更新的浏览器）中多次引起问题。它可以是HttpOnly和SameSite=Strict，但不要忘记添加缺失的属性。

进一步说明：这可能是由安全机制引起的：

选项A.) - 代理方式

1.）确保在前端的package.json中使用与后端相同的端点代理。

像这样：

"proxy": "http://localhost:8080/api/auth"

如果您在8080端口上运行后端。

2.) 在您的服务文件中（或任何您想要调用后端的地方），相对路径就足够了，因此您不需要指定整个路径，感谢代理服务器URL。

例如：

...

  return axios
    .post("/signin", {
      username,
      password,
    })

...

关于同源策略的更多信息，请参考以下链接： https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

选项B）- CORS方式

对于Spring用户：除了上述头部设置外，不要忘记设置@CrossOrigin origins和allowCredentials为true。例如：

@CrossOrigin(origins = {"http://127.0.0.1:8089", "http://localhost:3001"}, allowCredentials = "true")

希望对某人有所帮助。愉快的编程！

- Márk Dénes

0

这些配置对我有效。

这些配置是针对cookie的。

cookie: {
    path: '/',
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    sameSite: true,
    maxAge: 60000, //time exp
    domain: 'localhost' //or other domain
  }

CORS / nodeJs 的配置

configCors = {
  origin: [`http://${process.env.SERVER_NAME}`, 'http://localhost:3000'],
  credentials: true
}

最后，将阿波罗凭据作为“include”引入。我曾经遇到过同样的问题，但是我通过graphql凭据（Apollo）解决了它。

- JhonF

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- ogelacinyc · Accepted Answer

请在您的resolver.js文件中将SameSite：None更改为SameSite：Lax

ctx.request.res.cookie("token", token, {
     httpOnly: true,
     maxAge: 60 * 60 // 1 Hour
     // secure: true, //on HTTPS
     // domain: 'example.com', //set your domain
     sameSite: 'lax',
    }

references:

https://web.dev/samesite-cookies-explained/#explicitly-state-cookie-usage-with-the-samesite-attribute

https://github.com/GoogleChromeLabs/samesite-examples/blob/master/javascript-nodejs.md