问题现象
在业务系统B登录之后,打开B系统的一个内嵌iframe页面page1,page1需要访问业务系统A/create接口,屏幕出现一片白色,跟踪chrome network发现请求截图如下:
可以发现,浏览器在不断的访问A/create接口,然后访问passport/serviceLogin接口,然后访问A/sts接口,然后再次访问A/create,再次访问passport/serviceLogin,再次访问A/sts,陷入死循环.
单点登录流程图
上方流程图是梳理了单点登录代码拦截器和校验代码得出来的,可以发现在第7步,如果serviceToken合法,则创建登录session,后续的接口请求将不会被要求重新登录.如果serviceToken验证不合法,导致重复步骤2,又去passport登录.
问题分析
serviceToken是在第5步通过passport重定向时带回来的authToken和sign转换生成而来,理论上不会出现验证不合法的情况.跟踪了如下图/sts接口请求响应里返回的serviceToken,在response cookie里返回的是KTHeRW……,
下一次请求待/sts的时候带过来的request cookie如下:
奇怪的事情发生了,request cookie里居然带过来两个serviceToken,上面的是F7dJD……,下面的是KTHeRW……,KTHeRW……这个cookie正是上一步请求写入的,如果本次请求只有这一个cookie,应该是可以校验成功的,问题出在多出了第一个同名cookie,那么第一个serviceToken是哪里来的呢?
如下方截图可以发现,这是业务系统B域名下可以访问的cookie,cookie的domain是.xiaomi.com,当请求业务系统A(A.xiaomi.com),业务系统B生成的cookie会被带到A系统的请求中
知识点Cookie和域名的匹配规则:
先谈一下Cookie的限制,对于一个任何Http Request来说,提交给Server端的时候,它能够安全访问的Cookie的域名必须在这个HTTP Reuqest的域名路径中。举例来说,发出一个http://communiy.corp.studyez.com/的 请求时,随着这个http request一块发送到server端的cookies会自动包括所有 以 community.corp.studyez.com, .corp.studyez.com, corp.studyez.com, .studyez.com, studyez.com 为域名的Cookies,这是由Cookie本身的规范所限制的,浏览器如果不是按照这个规范实现,那么就会存在严重安全漏洞,因为那样的话意味着任何一 个服务器都可以读到同一个用户访问别的网站时留下的Cookie。(引用自:https://blog.csdn.net/a4875030/article/details/19296481)
问题解决
到这里,问题就明确了,B系统在接入单点登录的时候也在cookie里写入了serviceToken,这个serviceToken如果在A系统的serviceToken之前生成,那么访问A系统的时候,B系统生成的serviceToken会被错误的带到A系统的请求中去,导致A系统登录校验失败,引发单点登录死循环.代码改动如下,将cookieDomain从xiaomi.com改成B.xiaomi.ocm,就可以解决这个问题了.
修改之后:再次访问A/create,请求cookie如下,只带了一个serviceToken,而且这个serviceToken是A系统自己生成的那个
总结
a.设置cookie的时候,指定domain一定要慎重,大多数情况下domain都是设置的本系统自己的域名,如果设置的域名过于宽泛,可能会导致该域名的子域名系统拿到同名的错误cookie.
b.这个问题是偶发的,比较难以复现和定位,如果A系统在B系统之前生成serviceToken,那么A系统就可以正确拿到自己的serviceToken,就不会有问题.这个系统在设计的时候,在B系统登录的时候,会去调用A系统接口,如果A系统此时没有登录,两个系统相当于同时在进行单点登录,同时生成serviceToken,这个在架构上设计不是很合理.
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
