背景:
首先我在是公司的一个职能部门,所做的软件主要是服务于公司内部员工使用,员工可以通过工号来进行登录,也可以通过其他方式登录,所以整个公司提供了一个统一身份管理平台来员工身份认证、权限进行集中式的管理,实现一个账号打通所有应用服务:
好处有以下几种吧:
- 作为开发人员不需要重新开发登录页面,以及一些身份认证的相关逻辑,节省开发人力
- 各个系统登录界面的UI更加一致、统一
- 由于登录完成后,一些cookie的设置都是存在主域下面的,这样在同一个浏览器上登录一个系统后,如果系统间的都是该主域的子域名话,cookie之间是可以实现共享,这样当再次打开其他系统时就可以实现免登录的效果
这边就简单讲解一下接入实现逻辑,涉及到后端的接入可能就无法具体讲解了:
1.首先统一身份管理平台在登录成功之后,会跳转到后端一个服务域名上去,目的是将登录人的身份信息通过set cookie方式传给后端(http://xxxx/login?service=后端服务)
2.当后端服务拿到cookie之后会调用统一身份管理平台的认证sdk进行校验,判断该cookie是否在有效期内
3.若在有效期内,则说明认证成功,会跳转到前端域名上,解析html,css,js文件
4.若不在有效期内,说明认证失败,继续重定向到统一身份管理平台进行再次认证
问题描述:
由于我开发的系统是一套中间服务,需要和很多内部系统进行对接,有一天其他系统的产品经理反馈说同一个浏览器上打开两个系统,另外一个系统立马就打不开了并且一直在刷新,非常影响用户体验:
复现:
首先我在我的电脑上复现了全过程,在当我的系统用户信息失效时,再次重新登录时,另外一个系统此时就开始出问题了,这边就简单描述一些问题产生的步骤,中间经历了哪些环节:
1.另外一个系统出问题时,会跳转到统一身份管理平台去重新登录
2.但是那边认为cookie是有效的,又重定向到后端域名上
3.后端服务觉得cookie也是有效的未过期,又重定向到前端域名上来
4.前端域名调用userInfo接口却一直提示401登录信息失效
5.最终导致页面一直在刷新,和产品描述一致
问题思路推理:
那现在问题的根本原因就是一些cookie信息发生了改变,而恰好躲过了统一身份管理平台和后端服务的校验,而这些cookie信息对某些接口却很重要;
因此我开始对比系统正常打开和系统挂了之后两者的cookie:
现象:确实是发生了一些变化,两次ookie信息对比中,某些key被修改了,某些key被删除了;
思考:
然后我就在想是不是在用户信息失效之后,我手动clearCookie导致的,因为这些cookie的key都存在同一个主域下面,当某些key清除或者修改了之后,另外一个系统就不认了;
为了验证,我打开了F12,发现有些cookie是httponly, 有些是完全可以修改的,并且我检查了我的代码,确实是clearCookie的代码逻辑;
当时心里面还经历过一些思想斗争,就觉得在用户信息失效后,前端手动清除cookie也没错啊,如果不清楚有缓存的话也会影响下一次登录;不过话虽如此,最终还是把clearCookie删除并测试了一下,哇塞居然没问题!
总结:
虽然最终解决了问题,但是我觉得后端在cookie的设置上还是不够谨慎,一些重要cookie key信息不设置httponly, 及其容易发生cookie劫持攻击,因为cookie完全是后端设置的,所以也更应该设置成httponly,防止前端修改导致出现的一系列的问题了。
最后如有不足之处,还望在留言区进行补充说明!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
