自动登录越权
背景
小程序原生跳转到webview的H5页面时,需要打通用户登录;此时需要在跳转的URL上带上临时token,通过临时token换取登录cookie。
实现的方案为通过Node服务的拦截器,自动拦截小程序环境中的H5页面请求,自动设置上cookie。
问题&原因
自动登录相关的逻辑封装在AutoLogin类中,如下所示
/**
* 自动登录相关
*/
class AutoLogin {
constructor () {
this.ctx = null
}
init (ctx) {
this.ctx = ctx
return this
}
/**
* 触发条件
* @returns {boolean}
*/
trackRule () {
}
/**
* 自动登录逻辑
* @param res
*/
async autoLogin () {
}
/**
* 自动退出登录逻辑
* 备注:当实现小程序跳H5自动登录后,此时小程序退出登录,需同时保证H5页面也退出登录
*/
async autoLogout () {
}
}
}
module.exports = new AutoLogin()
核心原因在于this.ctx = ctx
这一行,这行代码意味着在内存中持有了koa的ctx对象,当并发场景,会造成第一个请求链路还未完结时,ctx被替换为第二个请求的上下文对象了,从而造成header中的cookie信息不对,权限错乱。
类型异常
问题&原因
问题代码如下:
Object.entries(config.proxy).map(([path, target]) => {
let { url, login, intercept, extParams } = this.getProxyParams(target)
this.addRouter({
routerPath: `${routerRoot}${path}`,
target: url,
callback: async ctx => {
// 支持extParams为function类型,传入ctx方便从request中获取数据
extParams = Object.assign({}, typeof (extParams) === 'function' ? extParams(ctx) : extParams)
// 登录校验
if (login) {
}
// 接口透传
await proxy.launch({ url, reqParams }, ctx)
}
})
})
问题在于这一行代码extParams = Object.assign({}, typeof (extParams) === 'function' ? extParams(ctx) : extParams)
第一次请求的时候extParams为function类型,正常运行;第二次进来由于extParams已经变为了Object类型了,所以这段代码当第二个人请求进来时,永远都是运行的false逻辑,也就是第一个人ctx中的内容。
最后
- 在Node服务中,切忌保存上下文对象,尽量不要持有跟用户相关的非全局信息
- 缺少TS的场景下,注意JS的类型