6

基本上,我有一个登录表单,一旦通过身份验证,它就会启动一个 Oauth2 进程。它可以完美地工作,直到它必须进行最终的重定向以获得访问令牌。登录流程如下 POST/user/login重定向到/user/oauth/auth然后重定向到 Oauth redirect_uri /user/oauth/redirect。redirect_uri 永远不会发生,请求永远不会到达服务器。

如果我使用 Ajax 请求点击该重定向,则 cors 工作正常,并且我得到预期的响应,它似乎只有在我重定向两次时才会发生。

服务器显示这些响应

[I 130226 10:16:38 web:1462] 302 POST /user/login (192.168.1.5) 156.01ms  (Session cookies set fine)
[I 130226 10:16:38 web:1462] 200 OPTIONS /user/oauth/auth?scope=&client_id=DemoApp&response_type=code&redirect_uri=http://192.168.1.5:8443/user/oauth/redirect/code (192.168.1.5) 1.86ms
302 GET /user/oauth/auth?scope=&client_id=DemoApp&response_type=code&redirect_uri=http://192.168.1.5:8443/user/oauth/redirect/code (192.168.1.5) 8.58ms

最后一个 URL 永远不会被点击。在 Chrome、IE、FF 中,除了服务器看到请求外,流程是相同的

[I 130226 10:16:38 web:1462] 302 POST /user/login (192.168.1.5) 156.01ms  
[I 130226 10:16:38 web:1462] 200 OPTIONS /user/oauth/auth?scope=&client_id=DemoApp&response_type=code&redirect_uri=http://192.168.1.5:8443/user/oauth/redirect/code (192.168.1.5) 1.86ms
302 GET /user/oauth/auth?scope=&client_id=DemoApp&response_type=code&redirect_uri=http://192.168.1.5:8443/user/oauth/redirect/code (192.168.1.5) 8.58ms
[I 130226 10:27:12 web:1462] 200 GET /user/oauth/redirect/code?code=57497058fbbf6003310ea22d3902ac67 (192.168.1.5) 0.54ms

在 Web Inspector 中,我看到了请求,但像死了一样

在此处输入图像描述

我正在使用 Jquery 1.9,这里是 ajax 请求(当然,我在这里有阳光下的所有选项来尝试让它工作。)

$.ajax({
    type: "POST",
    url: reqUrl,
    data: data,
    dataType: "json",
    success: function(data, textStatus) {
            console.log(data);
            alert('logged in');

    },
    error: function(e){
        console.log(e);
    },
    complete: function(request, status) {
        console.log("headers=" + request.getAllResponseHeaders());
    },
    statusCode: {
    200: function(data) {
        console.log('yup we got it.')
    }
  },
  xhrFields: {
    withCredentials: true
  },
  crossDomain: true,
  async:true
});

JSONP 不是一个选项,因为初始帖子是通过 https 发送的,并且必须是 POST 请求。同样,包括 IE 在内的所有其他浏览器都可以正常工作,它会触发成功响应。

Safari 会触发 Statuscode 0 和错误,这是经典的 Origin 策略错误,但重定向 uri 在绕过登录的标准 ajax 请求中工作。我怀疑这是一个访问控制问题,因为如果 Safari 只是触发它,该调用将起作用。

我很确定它与重定向上的请求标头有关,并且 Safari 正在停止请求。在第一个成功的 302 上,它们看起来像这样

Access-Control-Request-Method: GET
Origin: http://192.168.1.5:9090
Access-Control-Request-Headers: origin, accept-encoding, accept-language

但是在重定向 uri 上,它们看起来像这样(这对于为什么它失败是有道理的,因为没有发送访问控制标头,但是为什么??)

Origin: http://192.168.1.5:9090
Accept-Encoding: gzip, deflate
Accept-Language: en-us
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/536.26.17 (KHTML, like Gecko) Version/6.0.2 Safari/536.26.17
Accept: */*
Referer: http://192.168.1.5:9090/login
4

1 回答 1

5

好吧,看起来这是一个 Safari 的东西,它只会跟随第一个重定向。Apple 声称这是编写 HTML 规范的方式。所以.... 不得不重新设计我的流程以不重定向/user/login并立即启动 oauth 过程。

于 2013-03-02T16:49:11.750 回答