如何解决无法检索Express-Session和Connect-Session-Firebase的会话Cookie 更新:更新2:
我正在尝试完成oauth-1握手。我的后端托管在Google Functions中。我将快速浏览有关上下文的流程:
- 用户单击前端将Etsy连接添加到我的应用程序。然后,我的前端与后端中的相应端点联系以启动此过程。
- 我的后端从Etsy请求一个令牌,然后我收到一个令牌,一个机密和一个将用户重定向到的URL,以便他们可以登录。我尝试将令牌和机密存储在会话cookie中,以供日后使用- -由于我使用的是Google Functions,因此后端本身不会“持久”运行,因此我试图存储这些值以便在下一次执行/阶段进行检索。 (注意:在请求令牌时,我提供了一个回调URL,将在用户登录时与其联系。)
- 我的前端从步骤2接收URL,然后将用户重定向到该位置以登录。
- 用户通过该登录名批准,然后调用回调URL。这包括验证程序。然后,我必须使用第2步中的验证程序以及令牌和密钥来获取accessToken。尽管我认为这些将在会话中检索,但它们都是未定义的,因此我对accessToken的请求失败。
在我看来,每次调用都会创建一个新会话,而不管是否已经存在一个会话。如果我在第1步和第2步中检查会话,则它们上的时间戳是不同的,这使我认为与其从第1步中检索会话,不如从第2步中获取会话,这是我的新想法-这很可能是因为我正在做app.use(session)。
我正在使用的技术列表:
- node.js
- 表达
- express-session
- firebase功能
- connect-session-firebase(还尝试过firestore-store,对下面的代码进行了很小的调整以适应其基本设置。)
这是我的后端实现:
const url = require('url');
const functions = require('firebase-functions');
const admin = require('firebase-admin');
const express = require("express");
const app = express();
const cors = require("cors")
const session = require('express-session')
const FirebaseStore = require('connect-session-firebase')(session);
// Etsy OAuth
// For Etsy OAuth
const etsyjs = require('etsy-js');
const client = etsyjs.client({
key: process.env.ETSY_KEY,secret: process.env.ESTY_SECRET,callbackURL: '<location>/authorize'
});
const ref = admin.initializeApp({
credential: admin.credential.cert(json),//json retrieved and put here
databaseURL: 'https://<app>.firebaseio.com'
});
app.use(cors())
app.use(session({
store: new FirebaseStore({
database: ref.database(),}),secret: 'My secret',resave: true,saveUninitialized: true,name: '__session',cookie: {
maxAge : 60000,secure: false,httpOnly: false
}
}
));
// Step 1 for backend of OAuth
app.get('/begin-oauth',(req,res) => {
res.setHeader('Cache-Control','private'); // I read somewhere this needs to be set,but I am not seeing a difference either way with it.
return client.requestToken((err,response) => {
if (err) {
return console.log(err);
}
req.session.token = response.token;
req.session.sec = response.tokenSecret;
res.status('200').send(response) // returning url to send the user there via frontend.
});
});
// Step 2 for backend of OAuth
app.get('/authorize',res) => {
let query,verifier;
query = url.parse(req.url,true).query;
verifier = query.oauth_verifier;
// session at this point should have token and sec stored from before but are not present.
return client.accessToken(req.session.token,req.session.sec,verifier,(err,response) => {
if (err) {
console.log(err);
}
req.session.token = response.token;
req.session.sec = response.tokenSecret;
// Finish up.
});
});
解决方法
好的,现在一切正常。有一些使它起作用的东西。
- 在后端调用中包括凭据,因此现在看起来像这样:
return await fetch(url,{
method: 'GET',headers: {
'Content-Type': 'application/json',},credentials: 'include',}).then(...)
- 将凭据添加到cors设置服务器端。所以现在看起来像这样:
var corsOptions = {
credentials: true,origin: true
}
app.use(cors(corsOptions))
- 这些仍未完全解决问题。最终解决问题的是我从浏览器中清除了缓存。我相信这是真正解决问题的东西!尝试这个简单的事情花了多长时间绝对令人痛苦。
更新:
因此,以上内容修复了开发环境中的所有问题,但不适用于我实际部署到Google Functions时的问题。那时,我在cors上遇到了一系列新问题。这是我收到的错误消息: 
这是我为解决此问题所做的更改:
app.use(function(req,res,next) {
var allowedOrigins = ['http://localhost:3000','http://localhost:5000','https://www.<site>.com','https://<app-location>.cloudfunctions.net','https://<app>.firebaseio.com']
var origin = req.headers.origin;
functions.logger.log('Checking headers:')
functions.logger.log(origin)
functions.logger.log(req.headers)
if(allowedOrigins.indexOf(origin) > -1){
res.setHeader('Access-Control-Allow-Origin',origin);
}
res.header('Access-Control-Allow-Methods','GET,OPTIONS');
res.header('Access-Control-Allow-Headers','Content-Type,Authorization');
res.header('Access-Control-Allow-Credentials',true);
return next();
});
我将cookie更新为:
cookie: {
maxAge: 30*24*60*60*1000,secure: true,httpOnly: false,sameSite: 'none'
}
^,我设置了secure: true和sameSite: 'none'
更新2:
有了上面的代码,我使它可以在已部署的形式下工作,但是它不能在Chrome Incognito窗口中工作,这让我感到紧张,也许它只是在工作,因为我仍然缓存了一些东西,但我没有追踪。事实证明,这是隐身窗口的安全功能。您必须将其切换为OFF才能使会话正常工作: 
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。