无法通过 Go API 在客户端中设置 cookie

欢迎各位小伙伴来到编程网，相聚于此都是缘哈哈哈！今天我给大家带来《无法通过 Go API 在客户端中设置 cookie》，这篇文章主要讲到等等知识，如果你对Golang相关的知识非常感兴趣或者正在自学，都可以关注我，我会持续更新相关文章！当然，有什么建议也欢迎在评论留言提出！一起学习！

问题内容

我有一个用 go 编写的后端，托管在 heroku 上，我们称之为 https://foo.herokuapp.com。我有一个托管在不同域上的前端，我们称之为 https://ui.example.com。 后端api有一个端点/api/user/login，它以cookie的形式发回json web token，如下所示：

http.setcookie(w, &http.cookie{
        name:     "token",
        value:    token, // the jwt
        httponly: false, // for testing, set to true later once i fix this
        maxage:   int(time.hour * 24 * 3),
        expires:  time.now().utc().add(time.hour * 24 * 3),
        path:     "/",
        secure:   true,
        samesite: http.samesitenonemode,
})

这些是我在服务器上的 cors 设置。

crossorigin := cors.new(cors.options{
        allowedorigins:   []string{allowedorigin},
        allowcredentials: true,
        allowedmethods:   []string{http.methodget, http.methodpost, http.methodput},
})

前端向后端发出请求，如下所示。

const endpoint = "/api/user/login/"
    fetch(host + endpoint, {
        method: "post",
        credentials: 'include',
        body: json.stringify({
            email,
            password
        })
    }).then((response) => console.log(response))
    .catch((err) => console.log(err));

问题： 现在这个 cookie 实际上在我的浏览器的“网络”选项卡中可见。

但是应用程序选项卡（或 firefox 中存在 cookie 的存储选项卡）中不存在 cookie。浏览器不保存 cookie，这导致后续请求失败，因为在处理实际请求之前会验证和解码 cookie 中的令牌。

在另一个有些相关的线程中，我了解到 heroku 在到达我的应用程序之前终止了 ssl。并且，因此无法为非 ssl 流量设置安全 cookie。那里的解决方案建议信任 x-forwarded-for 中找到的方案。我使用 https://github.com/gorilla/handlers 包启用了该功能，如下所示。

// srv is my actual handler
// crossOrigin is the CORS middleware
// finally wrapped by ProxyHeaders middleware
handlers.ProxyHeaders(crossOrigin.Handler(srv))

但这不起作用。

我读了很多帖子/博客。到目前为止还没有任何效果。我做错了什么？

正确答案

Cookie 由浏览器为最初设置 Cookie 的域保存。只是因为您在“应用程序”选项卡中看不到 cookie，并不意味着 cookie 未保存。

如果您的前端 https://ui.example.com 对 https://foo.herokuapp.com 进行 XHR 调用，并且该调用返回 Set-Cookie 标头，则浏览器会将该 cookie 保存在 foo.herokuapp 下。 com 域。您不会在 ui.example.com 的“应用程序”选项卡中看到它。不过，当您再次对 foo.herokuapp.com 进行 XHR 调用时，浏览器将发送您之前设置的 cookie。

您可以进行以下实验：登录后，打开一个新选项卡并导航到 https://foo.herokuapp.com。现在打开“应用程序”选项卡，您应该在那里看到您的 cookie。

也就是说，请记住，浏览器会将这些 Cookie 视为第 3 方 Cookie，并且浏览器供应商最终将放弃对第 3 方 Cookie 的支持。最终，您应该确保您的前端和后端由同一父域提供服务。

至于另一个问题 - Heroku 在其网关和您的应用程序之间终止 SSL 不是问题。 cookie 上的 secure 标志是浏览器的信息 - 浏览器不会通过非 SSL 连接接受或发送带有此标志的 cookie。您的浏览器和heroku服务器之间的连接是SSL，因此cookies将被接受/发送。在您的后端中，cookie 只是 HTTP 标头，后端并不真正关心 cookie 的标志或连接类型。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《无法通过 Go API 在客户端中设置 cookie》文章吧，也可关注编程网公众号了解相关技术文章。