我们正在使用Nodejs(Express)为Twitter视图应用程序创建后端。
我考虑使用Twitter API进行登录,将认证后返回的令牌存储到会话中,然后在再次访问时从cookie中恢复会话。
但是,当再次访问时,cookie被阻止,我无法恢复会话信息。
我使用的浏览器是Chrome,但自Chrome 80版本以来,SameSite属性似乎是Lax(在未指定SameSite属性时从同一域站点调用发送cookie),在这种情况下,前端和后端不同域,所以cookie会被阻止。
因此,我试图将SameSite属性设置为None(在任何站点调用时都发送cookie),但似乎无法正确设置,并因此提出了此问题。
我想知道如果在app.use(session({}))的部分中进行更改,是否可以将SameSite属性设置为None,但是......
如果有人知道解决方案,我将非常感激您的帮助。
谢谢您的帮助。
相应的源代码:
我考虑使用Twitter API进行登录,将认证后返回的令牌存储到会话中,然后在再次访问时从cookie中恢复会话。
但是,当再次访问时,cookie被阻止,我无法恢复会话信息。
我使用的浏览器是Chrome,但自Chrome 80版本以来,SameSite属性似乎是Lax(在未指定SameSite属性时从同一域站点调用发送cookie),在这种情况下,前端和后端不同域,所以cookie会被阻止。
因此,我试图将SameSite属性设置为None(在任何站点调用时都发送cookie),但似乎无法正确设置,并因此提出了此问题。
我想知道如果在app.use(session({}))的部分中进行更改,是否可以将SameSite属性设置为None,但是......
如果有人知道解决方案,我将非常感激您的帮助。
谢谢您的帮助。
相应的源代码:
callback_url = env.URL + "oauth/callback";
app.use(
cookieSession({
name: "session",
keys: ["thisappisawesome"],
maxAge: 24 * 60 * 60 * 100
})
);
app.use(cookieParser());
// Save to session
passport.serializeUser(function(user, done) {
done(null, user.id);
});
// Restore from Session
passport.deserializeUser(function(user, done) {
done(null, user);
});
passport.use(
new TwitterStrategy({
consumerKey: env.TWITTER_CONSUMER_KEY,
consumerSecret: env.TWITTER_CONSUMER_SECRET,
callbackURL: callback_url
},
async (token, tokenSecret, profile, done) => {
return done(null, profile);
}
));
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false
}));
var cors_set = {
origin: env.CORS_ORIGIN_URL,
methods: "GET,HEAD,PUT,PATCH,POST,DELETE",
credentials: true // allow session cookie from browser to pass through
};
app.use(passport.initialize());
app.use(passport.session());
app.use(cors(cors_set));
我的尝试
1.我尝试在app.use(session({}))部分设置cookie选项,但无法将SameSite属性设置为None。
app.use(session({
allowedHeaders: ['sessionId', 'Content-Type'],
exposedHeaders: ['sessionId'],
secret: 'reply-analyzer',
resave: false,
saveUninitialized: false,
cookie : {
secure: true,
sameSite: 'None'
}
}));
2.我尝试使用以下中间件(express-samesite-default),但是SameSite属性可以设置为None,而实际上它并没有被设置。
var sameSiteCookieMiddleware = require("express-samesite-default");
app.use(sameSiteCookieMiddleware.sameSiteCookieMiddleware());
附加信息
Node.js 版本为 v12.18.2 Chrome 浏览器版本为 v84.0.4147.135