Node.js 为什么socket.io会创建第二个';sid';cookie有不同的路径吗?
我正在做一个项目,我发誓这以前不是问题,但现在显然不是——我可能在做一些愚蠢的事情。我看到express&socket.io创建了两个不同的“sid”cookie,一个路径为“/”,另一个路径为“/socket.io”。我期望的行为是在我的express应用程序和socket.io之间共享相同的cookie/会话 “/”的“sid”cookie: “/socket.io”的“sid”cookie: 我正在通过以下方式设置express:Node.js 为什么socket.io会创建第二个';sid';cookie有不同的路径吗?,node.js,session,cookies,express,socket.io,Node.js,Session,Cookies,Express,Socket.io,我正在做一个项目,我发誓这以前不是问题,但现在显然不是——我可能在做一些愚蠢的事情。我看到express&socket.io创建了两个不同的“sid”cookie,一个路径为“/”,另一个路径为“/socket.io”。我期望的行为是在我的express应用程序和socket.io之间共享相同的cookie/会话 “/”的“sid”cookie: “/socket.io”的“sid”cookie: 我正在通过以下方式设置express: var config = require('confi
var config = require('config');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var sessionStore = require('./session-store');
var sessionConfig = {
store : sessionStore,
secret : config.server.sessionSecret,
key : config.server.sessionKey,
saveUninitialized : true,
resave : true,
cookie : { secure: config.server.useHTTPS }
};
module.exports = function (app) {
app.use(cookieParser(config.server.sessionSecret));
app.use(session(sessionConfig));
};
我正在通过以下方式设置socket.io:
var config = require('config');
var redis = require('socket.io-redis')(config.redis.socket);
var cookieParser = require('socket.io-cookie-parser');
var sessionStore = require('./session-store');
module.exports = function (io) {
io.adapter(redis);
io.use(cookieParser(config.server.sessionSecret));
io.use(authorization);
};
function authorization (socket, next) {
var unauthorized = new Error('Unauthorized');
if (!socket.request.headers.cookie) {
return next(unauthorized);
}
var sessionKey = socket.server.engine.cookie;
var sessionId = socket.request.signedCookies[sessionKey] || socket.request.cookies[sessionKey];
if (!sessionId) {
return next(unauthorized);
}
sessionStore.get(sessionId, function (err, session) {
// use session's userId to fetch user & attach to socket
});
}
这两个文件从我的主服务器文件绑定在一起:
var http = require('http');
var express = require('express');
var socketio = require('socket.io');
var config = require('config');
var app = express();
var server = http.Server(app);
var io = socketio(server, {
cookie: config.server.sessionKey
});
// initialize aspects of the app
require('./config/initializers/io')(io);
require('./config/initializers/express')(app);
module.exports = server;
好吧,我想我解决了。在我的服务器上安装socket.io时,似乎提供了
cookie
选项,最终导致engine.io根据以下内容设置具有相同名称的cookie:
根据,默认路径为当前URL路径:
这将解释自socket.io的端点默认为/socket.io
以来创建的新cookie。由于我使用的是读取cookie的自定义授权,因此我认为通过将套接字实例化更改为以下内容来禁用engine.io中的cookie是安全的:
var io = socketio(server, {
cookie: false
});
这现在破坏了原始问题中包含的我的授权
功能,特别是这一行:
var sessionKey = socket.server.engine.cookie;
由于我不再将cookie密钥传递给socket.io/engine.io,因此我需要直接从配置中读取:
var sessionKey = config.server.sessionKey;
var sessionKey = socket.server.engine.cookie;
var sessionKey = config.server.sessionKey;