问题描述
我正在开发一个 SPA (React) 应用程序,我想使用 cookie 实现身份验证以跟踪活动会话,并且仅在用户通过身份验证时才允许访问某些路由。
我想知道如何按照最佳实践开发 SPA,确保除非设置会话 cookie,否则无法查看受保护的路由(需要用户身份验证的路由)。
我正在研究不同的身份验证解决方案,其中大多数似乎在成功身份验证后设置具有以下属性的 HTTP cookie:SameSite、Secure 和 HttpOnly。身份验证解决方案将与 SPA 位于同一域中,因此 SameSite 对我来说很有意义。该域具有 SSL 证书,因此通信将通过 HTTPS 进行,因此 Secure 对我来说很有意义。
但是,由于 SPA 是 javascript,它无法访问 HttpOnly cookie,因此也不能访问会话 cookie。
我可以看到一些可能的解决方案:
- 从需要设置会话 cookie (/app) 的 NodeJS 应用路由提供 SPA:
从身份验证服务成功进行身份验证后,将用户重定向到 NodeJS 应用程序的 /app 端点,然后验证浏览器发送的 cookie。如果 cookie 有效,则为 SPA 提供服务。如果没有,则重定向到身份验证服务登录屏幕。
我认为大多数 SSR 网络应用程序在其每条路线上都使用这种方法。但是,由于这是一个 SPA,因此只需在为应用程序提供服务的顶级路由上完成即可。
- 在来自身份验证服务的会话 cookie 上禁用 HttpOnly 标志
我没有对此进行深入研究,但如果可能的话,它将使 SPA 受到 XSS 攻击,这是我想避免的。
这两种方法中的任何一种都是正确的方法吗?我意识到有多种方法可以解决此问题,但我怀疑存在解决此问题的最佳实践,因为这在当今作为 SPA 开发的许多 Web 应用程序中非常普遍。
最后一个问题 - 关于 HttpOnly、Secure 和 SameSite cookie,我意识到 Chrome、Firefox、Safari 和 Edge 等浏览器会阻止人们创建具有这些属性的 cookie。但是,是否有人可以在流行浏览器之外以某种方式创建具有这些属性的 cookie,从而访问需要用户通过身份验证过程的网络应用程序?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)