如何在跨源请求中保留会话数据?

时间:2013-10-17 20:49:02

标签: node.js session express connect cors

我是使用Express和Connect的新手,所以我希望我做一些有点简单解决方案的蠢事......

基本上,我有一个用户使用Persona登录的页面。要验证身份验证尝试,我使用express-persona。据推测,此模块将用户经过验证的电子邮件地址保存在会话变量中(默认情况下为req.session.email)。

现在,登录后,用户可以发表评论,此评论将与用户登录的电子邮件地址一起保存。当提供表单的服务器与处理发布的服务器相同时评论,这很好。但是,当它们不同时(假设用户在http://localhost:8001填写表单,而浏览器则向http://localhost:8000发送POST请求,这应该保存评论),突然之间是req。 session.email值为undefined

认为我正确设置了跨源资源共享。表格是这样发送的(使用jQuery):

$.ajax('http://localhost:8000/post/comment',
       {
           data: {comment: $('#commentField').val()},
           type: 'POST',
           xhrFields: {withCredentials: true}
       }
);

(注意xhrField: {withCredentials: true} - 传递会话cookie,我通过检查网络请求进行了验证。)

服务器设置(我认为)正确的CORS标头:

res.header('Access-Control-Allow-Origin', 'http://localhost:8001');
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization, Content-Length, X-Requested-With');
res.header('Access-Control-Allow-Credentials', 'true');

当我添加console.log(req.cookie)时,我看到sessionId Cookie的值与发送POST请求的cookie相同。

但是: console.log(req.session.email)显示undefined的跨源请求 - 再次,当请求来自同一个来源时,它可以正常工作。

我做错了什么?

2 个答案:

答案 0 :(得分:6)

我发现了我的问题:我忘了发送带有身份验证请求的Cookie。因此,Express服务器在登录时无法识别当前用户的会话,因此无法将用户数据保存到会话中。

解决方案是还发送带有withCredentials标志的Persona断言请求,如下所示:

var response = $.ajax(assertionUrl + '/verify', {
    data: {assertion: assertion},
    type: 'POST',
    xhrFields: {withCredentials: true}
});

(我认为任何人都不会碰到这个完全相同的问题,但以防万一......)

答案 1 :(得分:3)

对于那些希望通过Angular实现解决相同问题的人。您可以使用以下命令配置$ http以发送cookie:

Juan#Carlos
相关问题
最新问题