两个“跑路”级别BUG复盘

自动登录越权

背景

小程序原生跳转到webview的H5页面时,需要打通用户登录;此时需要在跳转的URL上带上临时token,通过临时token换取登录cookie。

实现的方案为通过Node服务的拦截器,自动拦截小程序环境中的H5页面请求,自动设置上cookie。

问题&原因

自动登录相关的逻辑封装在AutoLogin类中,如下所示

/**
 * 自动登录相关
 */
class AutoLogin {
  constructor () {
    this.ctx = null
  }

  init (ctx) {
    this.ctx = ctx
    return this
  }

  /**
   * 触发条件
   * @returns {boolean}
   */
  trackRule () {

  }

  /**
   * 自动登录逻辑
   * @param res
   */
  async autoLogin () {

  }

  /**
   * 自动退出登录逻辑
   * 备注:当实现小程序跳H5自动登录后,此时小程序退出登录,需同时保证H5页面也退出登录
   */
  async autoLogout () {

    }
  }
}

module.exports = new AutoLogin()

核心原因在于this.ctx = ctx这一行,这行代码意味着在内存中持有了koa的ctx对象,当并发场景,会造成第一个请求链路还未完结时,ctx被替换为第二个请求的上下文对象了,从而造成header中的cookie信息不对,权限错乱。

类型异常

问题&原因

问题代码如下:

Object.entries(config.proxy).map(([path, target]) => {
        let { url, login, intercept, extParams } = this.getProxyParams(target)
        this.addRouter({
          routerPath: `${routerRoot}${path}`,
          target: url,
          callback: async ctx => {
            // 支持extParams为function类型,传入ctx方便从request中获取数据
            extParams = Object.assign({}, typeof (extParams) === 'function' ? extParams(ctx) : extParams)
            // 登录校验
            if (login) {

            }
            // 接口透传
            await proxy.launch({ url, reqParams }, ctx)
          }
        })
      })

问题在于这一行代码extParams = Object.assign({}, typeof (extParams) === 'function' ? extParams(ctx) : extParams)

第一次请求的时候extParams为function类型,正常运行;第二次进来由于extParams已经变为了Object类型了,所以这段代码当第二个人请求进来时,永远都是运行的false逻辑,也就是第一个人ctx中的内容。

最后

  • 在Node服务中,切忌保存上下文对象,尽量不要持有跟用户相关的非全局信息
  • 缺少TS的场景下,注意JS的类型
两个“跑路”级别BUG复盘_第1张图片

你可能感兴趣的:(前端)