我有一个基本的 SPA (react) <-> API (net core 2.2) 设置,有 2 个环境:dev 和 prod(小项目)。侧面有一个身份验证机制,用于检查每个包含 JWT 的请求中API是否存在cookie。httponly
在开发环境中,它可以工作 okey-dokey:allowCredentials()在 API 和withCredentials = truereact 应用程序中设置。两者都在我的本地主机的不同端口上运行。
但是在生产环境中(单独的 Heroku dynos),它只是不会设置httponlycookie:我可以使用我的凭据登录,响应标头包含带有 jwt 的 cookie,但我将发出的所有其他请求都不会包含请求标头中的所有 cookie 标头!
然后我得到一个401 Unauthorized ...错误(这是合乎逻辑的)。当我花了几个小时尝试所有事情时,这让我发疯了。
我的简单身份验证 XHR (vanilla) 调用:
var request = new XMLHttpRequest()
request.open('POST', apiAuthenticateUser, true)
request.setRequestHeader('Content-type', 'application/json')
request.withCredentials = true
request.send(postData)
我Startup.cs在 .net 核心 api 中的配置:
public void Configure(IApplicationBuilder app, IHostingEnvironment env) {
if (env.IsDevelopment()) {
app.UseDeveloperExceptionPage();
IdentityModelEventSource.ShowPII = true;
} else {
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseCors(
options => options.WithOrigins(
"https://localhost:3000",
"*productionEnvUrl*").AllowAnyMethod().AllowCredentials().AllowAnyHeader()
);
app.UseMvc(routes => {
routes.MapRoute("MainRoute", "api/{controller}/{action}");
});
app.UseAuthentication();
}
这就是我在 api 控制器操作响应中设置包含 jwt 的 httponly cookie 的方式:
Response.Cookies.Append("jwt", jwt, new CookieOptions { HttpOnly = true, Secure = true });
两种环境的代码相同,只是产生不同的结果。在这两种情况下,api都会在身份验证响应标头中向我发送正确的cookie,但在生产环境中,我的react应用程序不会保留它并在其他api调用中将其发送回......
这是从 API 收到的 cookie,它永远不会从 Web 应用程序发回:
Access-Control-Allow-Credentials :true
Access-Control-Allow-Origin :https://xxxxxxxxxx.com
Connection :keep-alive
Content-Type :application/json; charset=utf-8
Date :Mon, 09 Sep 2019 22:32:54 GMT
Server :Kestrel
Set-Cookie :jwt=xxxxxxxx; path=/; secure; samesite=lax; httponly
Transfer-Encoding :chunked
Vary :Origin
Via :1.1 vegur
如果有人有任何线索,我将永远感激不尽。