node.js - 浏览器中未设置 Express session cookie

Question

我在尝试通过代理(最初是 NGINX，现在是 AWS ALB)实现 HTTPS 以确保与我的 Node 服务器的连接安全时遇到了问题。我的 login 请求处理得很好，但 login 后的后续请求被标记为 isAuthenticated === false，因此我的 Node 应用程序返回 401。

我知道 isAuthenticated === false 是由于浏览器中未设置 session cookie 引起的，但是我似乎无法弄清楚为什么未设置 session cookie (或发送？)。

我正在配置快速 session ，如下所示:

app.use(cookieParser('secret'));

app.set('trust proxy', 1);

// add & configure middleware
app.use(session({
    name: 'session',
    store: new redisStore(),
    secret: 'secret',
    resave: false,
    saveUninitialized: false,
    cookie: { httpOnly: true,
        secure: true }
}));

我的 Node 应用程序位于 AWS Application Load Balancer 后面，该负载均衡器通过 HTTP 与应用程序进行通信，因此我已将信任代理配置为 1。

我的 Passport 配置和本地策略就在下面:

// configure passport.js to use the local strategy
passport.use(new LocalStrategy(
    { usernameField: 'email' }, 
    (email, password, done) => {
        mysql.getConnection((err, conn) => {
            conn.query('SELECT u.user_id, u.email, u.password, o.uuid FROM user AS u INNER JOIN organization AS o ON o.id = u.org_id WHERE email = ?;', [email], ( err, rows ) => {
                if (err) throw err;

                if (rows.length !== 1)
                    return done(null, false, { message: 'User does not exist.\n' });
                else if (!bcrypt.compareSync(password, rows[0].password))
                    return done(null, false, { message: 'Incorrect password.\n' });
                else{
                    return done(null, {user_id: rows[0].user_id, email: email, uuid: rows[0].uuid});
                }
            });
            conn.release();
        });
    }
));

来自 react 客户端的请求是:

axios.post('https://sub.mydomain.com' + '/api/login', userObj, {withCredentials: true})
.then(res => {
    if (res.status === 200) {
        initUser(res.data, true);
    }
    else {
        this.setState({errors: {password: 'Incorrect username or password'}})

        this.props.history.push('/login');
    }
})
.catch((e) => {
    this.setState({errors: {password: 'Unable to login'}})

    this.props.history.push('/login');
});

当发出请求时，我收到了 200 状态，其中包含我所期望的用户信息。请参阅下面来自 PostMan 的屏幕截图:

此外，这些是 Chrome 中的响应 header :

access-control-allow-credentials: true
access-control-allow-origin: https://sub.mydomain.com
content-length: 89
content-type: text/html; charset=utf-8
date: Tue, 12 Mar 2019 07:49:45 GMT
etag: W/"59-T0xi+VpB6A/MLCHMb8Qz3Pq9dwc"
status: 200
vary: Origin
x-powered-by: Express

在这个过程中， session cookie 似乎要么无法从 Node 应用程序发送，要么无法在浏览器中设置。

我在本地计算机上运行完全相同的程序，并且在浏览器中设置 cookie 没有问题。我的本地服务器和服务器之间的唯一区别是 Node 应用程序前面的 ALB，并且我在本地服务器上设置 secure: false (因为我没有使用 HTTPS)。

仅供引用 - 我最初尝试在我的服务器上使用 NGINX proxy_pass 来处理 HTTPS 连接，但遇到了同样的问题。在未能找到 NGINX 的解决方案后，我尝试删除代理通行证并使用 AWS Application Load Balancer(我认为我的 NGINX 配置可能有问题)。这让我相信问题出在快速 session 配置上，因为它是这里的共同点，但是我可能遗漏了其他东西。

仅供引用 2 - 我尝试将 trust proxy 设置为 true、1、2、3 等，还尝试将 secure 设置为 false，还尝试将 httpOnly 设置为 false - 以及上述内容的无数变体，但我似乎仍然没有在浏览器中获取 cookie。

仅供引用 3 - 我尝试删除代理并恢复到与 Node 应用程序的直接 HTTP 连接，但我仍然没有在浏览器(或 PostMan)中获取 cookie。

希望这里有人能指出我错过的一些事情，希望能解决这个问题。

提前致谢!

Answer 1

经过几天的调查，问题出在我的 Redis 服务器已终止且无法重新启动。 捂脸

未生成(或存储)sessionID，因为它无法连接到 Redis 存储以在服务器端保存 session 信息。

启动 Redis 服务器立即解决了问题，但是如果 express/passport 有一些详细的日志记录来通知用户这一点，那就太好了。

希望其他人发现这很有用!