Home > Article > Backend Development > javascript - 手机客户端权限验证cookie跨域问题

javascript - 手机客户端权限验证cookie跨域问题

WBOYOriginal: 2016-06-06 20:32:411319browse

最近试着做hybird app，遇到的第一件事就是跨域session丢失的问题，不知道手机客户端现在都流行怎么做登陆状态保存？有哪个大牛愿意说说吗？

我遇到这个问题想到的方法是，php验证通过后session设置的session id是存在cookie里面，那我直接在验证通过以后用session_id()（这个函数会返回设置的sessionid）把值打印出来，然后客户端可以直接取到。。。
但是这之后就出问题了，我用

<code>document.cookie = 'PHPSESSID='+返回的sessionid
</code>

这样设置的cookie 的作用域是当前域名下的当前路径
设置好后可以在chrome里看到，然后夸域请求页面，发现没有带cookie....

至此我觉得是因为domain设置的不对所欲带不上cookie然后，我在后面加domain path就不会设置成功

<code>document.cookie = 'PHPSESSID='+返回的sessionid +‘；domain=a.com；path=’test/
</code>

这样做了后刷新页面后发现不能设置cookie了（可能是chrome出于安全考虑吧）。

我确定服务器端是设置好的，就是这里用ajax不能设置cookie，然后网上查了查，说ajax可以自己设置cookie我就照做了

<code>            $http({
                headers:{
                cookie:'PHPSESSID=192fac5eb0b9970dfedbb20773013e91'
            },
                xhrFields: {
                    withCredentials: true
                },
                crossDomain:true,
                method:'get',
                url:server.domain +server.api + '/resumelogin'
            }).success(function(d){
                console.log(d);
            })
</code>

chrome控制台打印Refused to set unsafe header "cookie"
这个问题看了下，stackoverflow上有答案不过也含含糊糊的

================================
现在已经没什么想法了，真不知道我这个想法是不是不对？是不是应该换个思路去做这个事呢？怎么保存登陆用户的状态？

回复内容：

最近试着做hybird app，遇到的第一件事就是跨域session丢失的问题，不知道手机客户端现在都流行怎么做登陆状态保存？有哪个大牛愿意说说吗？

<code>document.cookie = 'PHPSESSID='+返回的sessionid
</code>

这样设置的cookie 的作用域是当前域名下的当前路径
设置好后可以在chrome里看到，然后夸域请求页面，发现没有带cookie....

至此我觉得是因为domain设置的不对所欲带不上cookie然后，我在后面加domain path就不会设置成功

<code>document.cookie = 'PHPSESSID='+返回的sessionid +‘；domain=a.com；path=’test/
</code>

这样做了后刷新页面后发现不能设置cookie了（可能是chrome出于安全考虑吧）。

我确定服务器端是设置好的，就是这里用ajax不能设置cookie，然后网上查了查，说ajax可以自己设置cookie我就照做了

<code>            $http({
                headers:{
                cookie:'PHPSESSID=192fac5eb0b9970dfedbb20773013e91'
            },
                xhrFields: {
                    withCredentials: true
                },
                crossDomain:true,
                method:'get',
                url:server.domain +server.api + '/resumelogin'
            }).success(function(d){
                console.log(d);
            })
</code>

chrome控制台打印Refused to set unsafe header "cookie"
这个问题看了下，stackoverflow上有答案不过也含含糊糊的

================================
现在已经没什么想法了，真不知道我这个想法是不是不对？是不是应该换个思路去做这个事呢？怎么保存登陆用户的状态？

不要用cookies做手机端的auth, 现在一般用OAuth2，即token authentication。
简单的说流程就是
1. 客户端传登录信息（比如邮箱，密码）到服务器
2. 确认信息正确后，产生access token, 比较普遍的是JWT（JSON Web Token)，给一个过期时间，然后传给用户
3. 客户端存着这个access token，每次发请求的时候都要把这个token放到header里面

为什么用这样子的access token是安全的，JWT的好处是什么，网上文章很多，随便贴一个https://stormpath.com/blog/the-ultimate-guide-to-mobile-api-security/

Statement：

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

Previous article：正则表达式 - 求助怎么写php的正则匹配Next article：svn的目录乱了

See more

javascript - 手机客户端权限验证cookie跨域问题

回复内容：

Related articles