6

我正在为我认识的几个人构建一个小型晚餐/计划管理应用程序(使用微服务)。目的是每个人都可以登录自己的帐户,然后可以使用不记名令牌 (JWT) 对其他服务进行身份验证。

此不记名令牌存储在 cookie 中。但是,设置后我找不到这个 cookie,我尝试再次检索它。

最终导致错误

http: named cookie not present

为什么请求的响应体是空的?为什么我的 GET 请求没有发送任何 cookie?我该如何解决这个问题?

我在网上搜索了一下并尝试了以下方法

  • Net/http cookie:看起来最简单的实现,也是我在这里展示的实现。看起来这个简单的例子应该可以工作。

  • Cookiejar 实现:我尝试使用 cookiejar 实现从浏览器和邮递员中设置和检索 cookie,但结果相同。我使用的 cookiejar 实现在https://golang.org/pkg/net/http/cookiejar/?m=all#New

  • 设置为特定的 URL 和额外的 GET 请求:我试图将 cookie 放置在我的域中的不同特定 URL 上。在某些时候,似乎只能从某个特定的绝对 URL 中检索 cookie,但事实并非如此。

  • httputil DumpRequestOut:我发现net/http的实用程序包有一个叫做DumpRequestOut的函数,这个函数本来可以从请求中提取body,但这也是空的。

  • 将 cookie 'secure' 标志设置为 false:我发现了一个建议,即安全标志使 cookie 无法读取。不幸的是,更改安全标志没有效果。

Postman 清楚地表明 cookie 确实存在。我的浏览器 (firefox) 也显示 cookie 存在,但它们被赋予了一个相当抽象的名称。邮递员请求可以在https://www.getpostman.com/collections/fccea5d5dc22e7107664找到

如果我尝试使用 golang 中的“net/http”包检索 cookie,则响应正文为空。

在对用户/密码组合进行身份验证后,我直接设置会话令牌并重定向客户端。

// SetTokenAndRedirect sets an access token to the cookies
func SetTokenAndRedirect(w http.ResponseWriter, r *http.Request, db *mgo.Session, u *user.User, redirectURL string) *handler.AppError {
    // Generate a unique ID for the session token.
    tokenID := uuid.Must(uuid.NewV4()).String()
    //set the expiration time (found in config.config.go)
    expirationTime := time.Now().Add(config.ExpireTime)
    // Set the cookie with the JWT
    http.SetCookie(w, &http.Cookie{
        Name:     config.AccessTokenName,
        Value:    createToken(u.UserID, expirationTime, tokenID, r.Header.Get("User-Agent")),
        Expires:  expirationTime,
        HttpOnly: true,
        Secure:   false,
    })

    // Redirects user to provided redirect URL
    if redirectURL == "" {
        return handler.AppErrorf(417, nil, "No redirect URL has been provided")
    }
    http.Redirect(w, r, redirectURL, 200)
    return nil
}

我尝试如下验证传入的请求和 JWT 令牌。

// All handlers will have this adapted serveHTTP function 
func (fn AppHandler) ServeHTTP(w http.ResponseWriter, r *http.Request) {
    if err := Authorize(w, r); err != nil {
        http.Error(w, fmt.Sprintf("Not Authorized: %v", err), http.StatusUnauthorized)
        return
    }
    if e := fn(w, r); e != nil { // e is *appError, not os.Error.
        log.Printf("Handler error: status code: %d, message: %s, underlying err: %#v",
            e.Code, e.Message, e.Error)

        http.Error(w, e.Message, e.Code)
    }
}

// Claims defines what will be stored in a JWT access token
type Claims struct {
    ProgramVersion string `json:"programVersion"`
    UserAgent      string `json:"userAgent"`
    jwt.StandardClaims
}

// Authorize checks if the jwt token is valid
func Authorize(w http.ResponseWriter, r *http.Request) error {
    c, err := r.Cookie("access_token")
    if err != nil {
        if err == http.ErrNoCookie {
            // The program returns this error
            return err
        }
        return err
    }

    tokenString := c.Value

    claim := &Claims{}

    tkn, err := jwt.ParseWithClaims(tokenString, claim, func(tkn *jwt.Token) (interface{}, error) {
        return config.JwtSigningSecret, nil
    })
    if !tkn.Valid {
        return err
    }
    if err != nil {
        if err == jwt.ErrSignatureInvalid {
            return err
        }
        return err
    }

    // JWT token is valid
    return nil
}

设置cookie时请求的结构如下

// Pretty printed version
Host: localhost:8080
content-type: application/json
user-agent: PostmanRuntime/7.11.0
cache-control: no-cache
accept-encoding: gzip, deflate
content-length: 68
connection: keep-alive
accept: */*
postman-token: 36268859-a342-4630-9fb4-c286f76d868b
cookie: access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiUG9zdG1hblJ1bnRpbWUvNy4xMS4wIiwiZXhwIjoxNTU2MjA0MTg3LCJqdGkiOiJlZDlmMThhZi01NTAwLTQ0YTEtYmRkZi02M2E4YWVhM2M0ZDEiLCJpYXQiOjE1NTYyMDM1ODcsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.bssnjTZ8woKwIncdz_EOwYbCtt9t6V-7PmLxfq7GVyo

// Raw Version
&{POST /auth/users/login?redirect=/ HTTP/1.1 1 1 map[Cache-Control:[no-cache] Postman-Token:[d33a093e-c7ab-4eba-8c1e-914e85a0d289] Cookie:[access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiUG9zdG1hblJ1bnRpbWUvNy4xMS4wIiwiZXhwIjoxNTU2MjA0NDU4LCJqdGkiOiIzOTk1MmI1NS0yOWQzLTQ4NGQtODhhNC1iMDlhYmI1OWEyNzgiLCJpYXQiOjE1NTYyMDM4NTgsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.DFA7KBET3C2q1A9N1hXGMT0QbabHgaVcDBpAYpBdbi8] Accept-Encoding:[gzip, deflate] Connection:[keep-alive] Content-Type:[application/json] User-Agent:[PostmanRuntime/7.11.0] Accept:[*/*] Content-Length:[68]] 0xc0001ba140 <nil> 68 [] false localhost:8080 map[redirect:[/]] map[] <nil> map[] [::1]:36584 /auth/users/login?redirect=/ <nil> <nil> <nil> 0xc00016a2a0}

获取cookie时请求的结构如下

// Pretty printed version
Host: localhost:8080
cache-control: no-cache
postman-token: 20f7584f-b59d-46d8-b50f-7040d9d40062
accept-encoding: gzip, deflate
connection: keep-alive
user-agent: PostmanRuntime/7.11.0
accept: */*

// Raw version
2019/04/25 12:22:56 &{GET /path/provide HTTP/1.1 1 1 map[User-Agent:[PostmanRuntime/7.11.0] Accept:[*/*] Cache-Control:[no-cache] Postman-Token:[b79a73a3-3e08-48a4-b350-6bde4ac38d23] Accept-Encoding:[gzip, deflate] Connection:[keep-alive]] {} <nil> 0 [] false localhost:8080 map[] map[] <nil> map[] [::1]:35884 /path/provide <nil> <nil> <nil> 0xc000138240}

设置厨师时响应的结构如下

response Headers: map[Location:[/] Set-Cookie:[access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9ncmFtVmVyc2lvbiI6IjEuMC4wIiwidXNlckFnZW50IjoiR28taHR0cC1jbGllbnQvMS4xIiwiZXhwIjoxNTU2MjI4ODIyLCJqdGkiOiJlY2Q2NWRkZi1jZjViLTQ4N2YtYTNkYy00NmM3N2IyMmUzMWUiLCJpYXQiOjE1NTYyMjgyMjIsImlzcyI6ImdrLmp3dC5wcm9maWxlU2VydmljZS5hIn0.0sOvEzQS2gczjWSmtVSD_u0qMV2L7M4hKF1KUM08-bQ; Expires=Thu, 25 Apr 2019 21:47:02 GMT; HttpOnly] Date:[Thu, 25 Apr 2019 21:37:02 GMT] Content-Length:[0]]

我希望 Authorize 函数将返回 nil。另外,如果我添加以下代码,我希望存在一些 cookie。

for _, cookie := range r.Cookies() {
    fmt.Fprint(w, cookie.Name)
}

但是,Authorize 函数会在标题中返回错误,并且 printf 不会打印出任何 cookie。

4

2 回答 2

1

记得设置 cookie 的路径:

    c := &http.Cookie{Name: name, Value: encode(value), Path: "/"}
    http.SetCookie(w, c)

如果您不这样做,则 Path 将是当前请求的路径,因此 cookie 将只能从该确切路径获得。

于 2021-12-17T21:08:58.613 回答
-1

您正在查找名称错误的 cookie。会config.AccessTokenName == "access_token"?(我认为不会)。但是您正在尝试使用 cookie name 获取 cookie access_token

这是一个工作示例代码,在 POSTMAN 和 Web 浏览器上进行了测试。

package main

import (
    "log"
    "net/http"
    "time"
)

func main() {

    http.HandleFunc("/set", SetTokenAndRedirect)

    http.HandleFunc("/get", getToken)

    http.ListenAndServe(":8090", nil)

}

func SetTokenAndRedirect(w http.ResponseWriter, r 
*http.Request) {

    expirationTime := time.Now().Add(time.Hour)
// Set the cookie with the JWT
    http.SetCookie(w, &http.Cookie{
        Name:     "access_token", // you have to search 
the cookie by this name
        Value:    "12378",
        Expires:  expirationTime,
        HttpOnly: true,
        Secure:   false,
    })

    redirectURL := "/"

    http.Redirect(w, r, redirectURL, 200)

}

func getToken(w http.ResponseWriter, r *http.Request) {
    c, err := r.Cookie("access_token")

    if err != nil {
        if err == http.ErrNoCookie {
            log.Println("Error finding cookie: ", err)
        }
        //handle the error gracefully
        log.Fatal(err)
    }

    tokenString := c.Value

    log.Println("Cookie found: ", tokenString)

}

对于进一步的实验或如果需要:在写入任何其他内容之前设置标题(包括 cookie)。

可以在这里找到一个很好的讨论

于 2019-04-25T15:39:12.903 回答