reactjs - 前后端分离 : Safari not storing cookies from API which is hosted on a separate domain than its Frontend SPA client

Question

据我所知，我有一个现在相当常见的设置:一个位于其自己域(例如 myapi.com)上的后端 REST API，以及一个单页前端应用程序这是在其他地方提供的，例如 myapp.com。

SPA 是 API 的客户端，API 要求用户在执行操作之前进行身份验证。

后端 API 使用 cookie 来存储某些允许的来源(其中 myapp.com)的 session 数据。这是为了有一个安全的总线来传输和存储身份验证数据，而不必担心客户端。

在 Chrome、Opera 和 Firefox 中，这工作得很好:进行 API 调用来验证用户身份，返回 Cookie 并将其存储在浏览器中，以便与下一次调用一起推送。

另一方面，Safari 确实收到了 cookie，但拒绝存储它们:

我怀疑 Safari 将 API 域视为第 3 方 cookie 域，因此阻止存储 cookie。

这是 Safari 中的预期行为吗？如果是这样，有哪些最佳实践可以解决这个问题？

Answer 1

延续 answering your own question 的传统关于这一点。

TL;DR 这是 Safari 中所需的行为。解决这个问题的唯一方法是将用户带到 API 域(问题中的 myapi.com)上托管的网页，并从那里设置一个 cookie - 任何东西，你都可以编写一个小代码如果你愿意的话，可以在 cookies 里放一首诗。

完成此操作后，该域将被列入“白名单”，Safari 会善待您，并在任何后续调用中设置您的 Cookie，即使来自不同域的客户端也是如此。

这意味着您可以保持身份验证逻辑不变，只需引入一个为您设置“种子”cookie 的哑端点。在我的 Ruby 应用程序中，如下所示:

class ServiceController < ActionController::Base
  def seed_cookie
    cookies[:s] = {value: 42, expires: 1.week, httponly: true} # value can be anything at all
    render plain: "Checking your browser"
  end
end

客户端，您可能需要检查if the browser making the request is Safari并在打开那个丑陋的弹出窗口后推迟您的登录逻辑:

const doLogin = () => {
  if(/^((?!chrome|android).)*safari/i.test(navigator.userAgent)) {
    const seedCookie = window.open(`http://myapi.com/seed_cookie`, "s", "width=1, height=1, bottom=0, left=0, toolbar=no, location=no, directories=no, status=no, menubar=no, scrollbars=no, resizable=no, copyhistory=no")
    setTimeout(() => {
      seedCookie.close();
      // your login logic;
    }, 500);
  } else {
    // your login logic;
  }
}

更新:上面的解决方案对于登录用户来说效果很好，即它正确地将当前浏览器 session 的 API 域“列入白名单”。

但不幸的是，用户刷新页面似乎会使浏览器重置为原始状态，其中 API 域的第 3 方 cookie 被阻止。

我发现处理窗口刷新情况的一个好方法是 detect it in javascript页面加载后，将用户重定向到与上面的 API 端点执行相同操作的 API 端点，然后将用户重定向到他们导航到的原始 URL(正在刷新的页面):

if(performance.navigation.type == 1 && /^((?!chrome|android).)*safari/i.test(navigator.userAgent)) {
  window.location.replace(`http://myapi.com/redirect_me`);
}

让事情变得复杂的是，如果响应的 HTTP 状态是 30X(重定向)，Safari 将不会存储 cookie。因此，Safari 友好的解决方案涉及设置 cookie 并返回 200 响应以及将处理浏览器内重定向的 JS 片段。

就我而言，作为 Rails 应用程序的后端，该端点如下所示:

def redirect_me
  cookies[:s] = {value: 42, expires: 1.week, httponly: true}
  render body: "<html><head><script>window.location.replace('#{request.referer}');</script></head></html>", status: 200, content_type: 'text/html'
end