2

我是使用 Express 和 Connect 的新手,所以我希望我正在做一些愚蠢的事情,但有一个简单的解决方案......

基本上,我有一个用户使用 Persona 登录的页面。为了验证身份验证尝试,我使用express-persona。假设,此模块将用户的验证电子邮件地址保存在会话变量中(默认情况下为 req.session.email)。

现在,登录后,用户可以发表评论,该评论将与用户登录的电子邮件地址一起保存。当为表单提供服务的服务器与处理评论发布的服务器相同时,这工作正常。但是,当它们不同时(假设用户在 处填写表单http://localhost:8001,而浏览器随后发送一个 POST 请求http://localhost:8000应保存评论),突然间 req.session.email 值为undefined

我正确设置了跨域资源共享。表单是这样发送的(使用 jQuery):

$.ajax('http://localhost:8000/post/comment',
       {
           data: {comment: $('#commentField').val()},
           type: 'POST',
           xhrFields: {withCredentials: true}
       }
);

(注意xhrField: {withCredentials: true}-- 会话 cookie 被传递,我通过检查网络请求进行了验证。)

服务器设置(我认为)正确的 CORS 标头:

res.header('Access-Control-Allow-Origin', 'http://localhost:8001');
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization, Content-Length, X-Requested-With');
res.header('Access-Control-Allow-Credentials', 'true');

当我添加时console.log(req.cookie),我看到sessionId与 POST 请求一起发送的 cookie 具有相同的值。

但是: console.log(req.session.email)显示undefined跨域请求 - 同样,当请求来自同一来源时,它可以正常工作。

我究竟做错了什么?

4

2 回答 2

6

我发现了我的问题:我忘记发送带有身份验证请求的 cookie。因此,Express 服务器在登录时无法识别当前用户的会话,因此无法将用户数据保存到会话中。

解决方案是发送带有withCredentials标志的 Persona 断言请求,如下所示:

var response = $.ajax(assertionUrl + '/verify', {
    data: {assertion: assertion},
    type: 'POST',
    xhrFields: {withCredentials: true}
});

(我认为没有人会遇到同样的问题,但以防万一......)

于 2013-10-23T12:34:56.470 回答
3

对于那些希望通过 Angular 实现解决相同问题的人。您可以使用以下方式配置 $http 以发送 cookie:

.config(function ($routeProvider, $httpProvider) {
    $httpProvider.defaults.withCredentials = true;
    //rest of route code
于 2016-01-08T13:31:39.683 回答