1.问题现象
最近我们系统的部分用户,使用chorme用户登陆系统后,仍然不断提示用户未登录并重复跳转登陆页面。
大家都知道开发中有测试环境、预发环境和线上环境,而上述问题仅出现在我们的预发环境和线上环境,测试环境确并没有该问题出现。是不是非常的奇怪~~~
很明显,该问题是由于服务端检测到用户未登录导致的,即使用户已进行过登陆操作,但服务端仍然认为用户登陆。那么,造成这种现象的原因是什么呢?
2.原因分析
2.1 服务登陆与鉴权
2.2 原因分析
经观察发现,用于校验用户是否登陆的login接口在发送请求的时候,请求头中未携带用于后端用来鉴权的cookie。如图所示:
且提示:This Set-Cookie didn't specify a "SameSite" attribute and was defaulted to "SameSite=Lax" and was blocked because it came from a cross-site response which not the response to a top-level navigation. The Set-Cookie had to have been set with "SameSite=None" to enable cross-site usage
即:当Set-Cookie中的”SameSite“没有设置值时,默认为”SameSite=Lax“,并且因为Set-Cookie来自于一个跨站点的响应,导致Set-Cookie被阻拦。如果需要跨站点设置cookie,Set-Cookie必须设置为”SameSite=None“。
并且请求头中提示跨站:
题外话:76+版本以上的chrome浏览器,开发者面板中会提示几个Sec-Fetch开头的请求头:
Sec-Fetch-Dest:请求的目的地,即如何获取的数据
Sec-Fetch-Mode:请求模式
Sec-Fetch-Site:表示请求者来源与目标来源的关系
此部分内容请参考:https://www.cnblogs.com/fulu/p/13879080.html
好!题外话结束,回归正文。
通过以上现象,我们可以得出这样的结论:由于cookie跨站导致请求发送时,请求头中无法携带cookie,服务端判定用户未登陆导致的页面不断跳转到登陆页面。
那么是什么导致了cookie无法发送呢?
3.SameSite
SameSite详解:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html
原来,chrome浏览器为了防止CSRF攻击,为cookie增加了一个SameSite属性,在旧版本的浏览器中,该属性值默认为None,允许请求发送第三方cookie。但从2020年7月14日发布的chrome84稳定版开始,开始灰度SameSite灰度策略,设置默认属性值为SameSite=Lax。
这样我们就知道是由于谷歌浏览器的samesite灰度策略导致的请求无法发送cookie。
那么,我们如何解决该问题呢?
4.解决方案
4.1 关闭浏览器的samesite属性,操作步骤:地址栏输入 chrome://flags,把 SameSite by default cookies 改成 disabled
4.2 保证前后端域名同站
此处需要解释一下跨站与跨域的区别。跨域要求非常严格,只要协议、域名或端口号不一致,就认为跨域。但cookie的跨站要求相对宽松,即eTLD+1(有效顶级域名左边加一个子域名)原则,只要eTLD+1相同,就认为是同站。如有效顶级域名为test.cn,那么a.test.cn 和 b.test.cn就是同站的,可以信任彼此的cookie。
这也就是解释了为什么我们的测试环境没有重复登陆的问题,就是因为测试环境eTLD+1是相同的,但线上和预发环境却不同。
4.3 调整登陆校验方式,不使用cookie校验
4.4 服务端将SameSite属性设置为None,但此时必须同时设置Secure属性(仅允许https协议发送cookie)。同时必须进行UA检测,因为IOS 12 的 Safari 以及老版本的一些 Chrome 会把 SameSite=none 识别成 SameSite=Strict,所以服务端必须在下发 Set-Cookie 响应头时进行 User-Agent 检测,对这些浏览器不下发 SameSite=none 属性。不兼容的客户端详见:https://www.chromium.org/updates/same-site/incompatible-clients
Java实战:
我尝试了使用以下几种方法来设置Cookie的SameSite属性
1.java sevlet的原生cookie尚未实现该属性,只能曲线救国了
2.通过HttpServletResponse 的setHeader方法,写一个filter来设置该属性,但是失败了。可能是因为Java本身未实现无法识别该属性。代码如下:
@Slf4j
@Configuration
@WebFilter(urlPatterns ="/*", filterName ="sameSiteFilter")
public class SameSiteFilterimplements javax.servlet.Filter {
@Override
public void init(FilterConfig filterConfig)throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {
chain.doFilter(request, response);
addSameSiteAttribute((HttpServletResponse) response); // add SameSite=strict cookie attribute
}
private void addSameSiteAttribute(HttpServletResponse response) {
Collection headers = response.getHeaders("Set-Cookie");
log.info("获取到的header信息:{}", JsonUtils.stringify(headers));
boolean firstHeader =true;
for (String header : headers) {
if (firstHeader) {
log.info("1cookie信息:{}",String.format("%s; %s", header, "SameSite=None;Secure"));
response.setHeader("Set-Cookie", String.format("%s; %s", header, "SameSite=None;Secure"));
firstHeader =false;
continue;
}
log.info("2cookie信息:{}",String.format("%s; %s", header, "SameSite=None;Secure"));
response.addHeader("Set-Cookie", String.format("%s; %s", header, "SameSite=None;Secure"));
}
//重新获取cookie信息
Collection headers1 = response.getHeaders("Set-Cookie");
log.info("新获取到的header信息:{}",JsonUtils.stringify(headers1));
}
@Override
public void destroy() {
}
}
3.通过继承一个心的Cookie添加该属性,同样无法设置成功。代码如下:
class NewCookieextends Cookie {
private StringsameSite;
public final static StringLAX ="Lax";
public final static StringNONE ="None";
public final static StringSTRICT ="Strict";
public final static StringSET_COOKIE ="Set-Cookie";
public NewCookie(String name, String value) {
super(name, value);
}
public StringgetSameSite() {
return sameSite;
}
public NewCookiesetSameSite(String sameSite) {
this.sameSite = sameSite;
if (NONE.equals(sameSite)) {
setSecure(true);
}
return this;
}
@Override
public StringtoString() {
// 参照Controller中的doSetCookie代码
StringBuilder sb =new StringBuilder(getName()).append("=").append(getValue());
sb.append(";Path=").append(getPath()==null?"/":getPath());
if (getDomain() !=null) {
sb.append(";Domain=").append(getDomain());
}
if (isHttpOnly()) {
sb.append(";HttpOnly");
}
sb.append(";Max-Age=").append(getMaxAge());
// 默认Lax
sb.append(";SameSite=").append(getSameSite()==null?"Lax":getSameSite());
if (getSecure()) {
sb.append(";Secure");
}
if (getComment() !=null) {
sb.append(";Comment=").append(getComment());
}
return sb.toString();
}
}
4.新版本的spring-web包中的ResponseCookie虽然实现了SameSite,但我们项目Spring还是用的1.x的版本(接手的项目),不兼容!!!改造的成本比较高。
最后,我们决定先采用方案1,用户手动修改chrome浏览器,关闭samesite属性。