CORS跨域、Cookie传递SessionID实现单点登录后的权限认证的移动端兼容性测试报告

简述

本文仅记录如标题所述场景的测试所得,由于场景有些特殊,且并不需兼容所有浏览器,所以本文的内容对读者也许并无作用,仅为记录。

场景、与实现

  • 需在移动端单点登录
  • 需在移动端跨域访问我们的服务

基于历史原因:

  • 单点登录验证后,如Web网站一样,用Cookie携带SessionID到服务器,服务器根据SessionID管理该用户会话、权限
  • 跨域用CORS,在服务端和客户端有如下设置。

服务端响应:

httpResponse.setHeader("Access-Control-Allow-Origin", "http://example.com:8080");
httpResponse.addHeader("Access-Control-Allow-Credentials", "true");
httpResponse.addHeader("Access-Control-Allow-Methods", "HEAD,POST,GET,PUT,DELETE,OPTIONS");

客户端Ajax请求时设置withCredentials参数为true,记得返回Cookie的首次请求和其它请求都需设置:

function login() {
    $.ajax({
        url : urlPrefix + "/LoginServlet",
        type : "post",
        xhrFields: {
            withCredentials : true
        },
        success : function(data, name) {
            alert(data)
        }
    });
}

function test() {
    $.ajax({
        url : urlPrefix + "/BusinessServlet",
        type : "post",
        xhrFields: {
            withCredentials : true
        },
        success : function(data, name) {
            alert(data)
        }
    });
}

问题

测试过程:
A项目部署在a机器,B项目部署在a机器,B项目的页面跨域访问A项目
测试结果:

  • 在Web端验证基本没问题
  • 在移动端,IOS的Safari浏览器需要在设置 -> Safari -> 阻止Cookie -> 始终禁止才不能通过Cookie传递SessionID

测试过程:
A项目部署在a机器,B项目部署在b机器,B项目的页面跨域访问A项目。
如果a机器和b机器同属同一局域网:

  • 在Web端验证基本没问题
  • 在移动端,IOS的Safari浏览器需要在设置 -> Safari -> 阻止Cookie -> 始终允许允许访问过的网站仅允许当前网站能通过Cookie传递SessionID
  • 在移动端,我的IOS的QQ浏览器没问题

如果a机器和b机器其中之一属于外网:

  • 在Web端验证基本没问题
  • 在移动端,IOS的Safari浏览器需要在设置 -> Safari -> 阻止Cookie -> 始终允许才能通过Cookie传递SessionID
  • 在移动端,我的IOS的QQ浏览器有问题

目前还没探索出的原因,根据测试结果,可能会改为其它实现方法,比如单点登录后用JWT验证会话,用JSONP跨域。

posted @   nick_huang  阅读(2669)  评论(0编辑  收藏  举报
编辑推荐:
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
阅读排行:
· Ollama——大语言模型本地部署的极速利器
· 使用C#创建一个MCP客户端
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· Windows编程----内核对象竟然如此简单?
· ollama系列1:轻松3步本地部署deepseek,普通电脑可用
点击右上角即可分享
微信分享提示