Node.js 为什么socket.io会创建第二个'；sid'；cookie有不同的路径吗？_Node.js_Session_Cookies_Express_Socket.io

Node.js 为什么socket.io会创建第二个'；sid'；cookie有不同的路径吗？

node.js session cookies express socket.io

Node.js 为什么socket.io会创建第二个'；sid'；cookie有不同的路径吗？,node.js,session,cookies,express,socket.io,Node.js,Session,Cookies,Express,Socket.io,我正在做一个项目，我发誓这以前不是问题，但现在显然不是——我可能在做一些愚蠢的事情。我看到express&socket.io创建了两个不同的“sid”cookie，一个路径为“/”，另一个路径为“/socket.io”。我期望的行为是在我的express应用程序和socket.io之间共享相同的cookie/会话 “/”的“sid”cookie: “/socket.io”的“sid”cookie: 我正在通过以下方式设置express： var config = require('confi

我正在做一个项目，我发誓这以前不是问题，但现在显然不是——我可能在做一些愚蠢的事情。我看到express&socket.io创建了两个不同的“sid”cookie，一个路径为“/”，另一个路径为“/socket.io”。我期望的行为是在我的express应用程序和socket.io之间共享相同的cookie/会话

“/”的“sid”cookie:

“/socket.io”的“sid”cookie:

我正在通过以下方式设置express：

var config = require('config');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var sessionStore = require('./session-store');

var sessionConfig = {
  store             : sessionStore,
  secret            : config.server.sessionSecret,
  key               : config.server.sessionKey,
  saveUninitialized : true,
  resave            : true,
  cookie            : { secure: config.server.useHTTPS }
};

module.exports = function (app) {
  app.use(cookieParser(config.server.sessionSecret));
  app.use(session(sessionConfig));
};

我正在通过以下方式设置socket.io：

var config = require('config');
var redis = require('socket.io-redis')(config.redis.socket);
var cookieParser = require('socket.io-cookie-parser');
var sessionStore = require('./session-store');

module.exports = function (io) {
  io.adapter(redis);

  io.use(cookieParser(config.server.sessionSecret));
  io.use(authorization);
};

function authorization (socket, next) {
  var unauthorized = new Error('Unauthorized');

  if (!socket.request.headers.cookie) {
    return next(unauthorized);
  }

  var sessionKey = socket.server.engine.cookie;
  var sessionId = socket.request.signedCookies[sessionKey] || socket.request.cookies[sessionKey];

  if (!sessionId) {
    return next(unauthorized);
  }

  sessionStore.get(sessionId, function (err, session) {
    // use session's userId to fetch user & attach to socket
  });
}

这两个文件从我的主服务器文件绑定在一起：

var http = require('http');
var express = require('express');
var socketio = require('socket.io');
var config = require('config');

var app = express();
var server = http.Server(app);
var io = socketio(server, {
  cookie: config.server.sessionKey
});

// initialize aspects of the app
require('./config/initializers/io')(io);
require('./config/initializers/express')(app);

module.exports = server;

好吧，我想我解决了。在我的服务器上安装socket.io时，似乎提供了

cookie

选项，最终导致engine.io根据以下内容设置具有相同名称的cookie：

根据，默认路径为当前URL路径：

这将解释自socket.io的端点默认为

/socket.io

以来创建的新cookie。由于我使用的是读取cookie的自定义授权，因此我认为通过将套接字实例化更改为以下内容来禁用engine.io中的cookie是安全的：

var io = socketio(server, {
  cookie: false
});

这现在破坏了原始问题中包含的我的

授权

功能，特别是这一行：

var sessionKey = socket.server.engine.cookie;

由于我不再将cookie密钥传递给socket.io/engine.io，因此我需要直接从配置中读取：

var sessionKey = config.server.sessionKey;

var sessionKey = socket.server.engine.cookie;

var sessionKey = config.server.sessionKey;