当前位置: 开发笔记 > 编程语言 > 正文

强制执行SameSite策略的Cookie在iOS12中被阻止,用于涉及跨源请求的SSO流

作者：小三coolboy958_818 | 来源：互联网 | 2022-12-06 19:38

如何解决《强制执行SameSite策略的Cookie在iOS12中被阻止,用于涉及跨源请求的SSO流》经验，为你挑选了1个好方法。

摘要:iOS/OS 12中的第三方登录中断!

我们有一个适用于多个网站的通用登录.这在Windows,macOS和iOS上的Firefox,Chrome和Safari中运行良好.但是对于iOS 12和macOS 12,似乎COOKIE不再从auth0登录窗口工作到我们的登录API.

它不仅在Safari中停止工作,而且在iOS 12上也在Chrome和Firefox中停止工作(它仍适用于Mac OS 12上的Chrome).我怀疑这与智能跟踪预防2.0有关,但我很难找到许多技术细节.

我们的登录流程如下:

用户单击login,将window.location.href设置为通用(不同)登录域上的登录URL.

这称为ChallengeAsync,它将用户发送到auth0域进行登录.

然后将用户发送回登录域,但此时缺少来自auth0的COOKIE和控制器中设置的会话COOKIE.

我在启动时使用以下内容:

    services.AddAuthentication(optiOns=> {
                    options.DefaultAuthenticateScheme = COOKIEAuthenticationDefaults.AuthenticationScheme;
                    options.DefaultChallengeScheme = COOKIEAuthenticationDefaults.AuthenticationScheme;
                    options.DefaultSignInScheme = COOKIEAuthenticationDefaults.AuthenticationScheme;
                })
                .AddCOOKIE(optiOns=>
                {
                    options.COOKIE.Path = "/";
                    options.SlidingExpiration = false;
                })
                .AddOpenIdConnect("Auth0", optiOns=> {
                // Set the authority to your Auth0 domain
                options.Authority = $"https://{Configuration["Auth0:Domain"]}";

                // Configure the Auth0 Client ID and Client Secret
                options.ClientId = Configuration["Auth0:ClientId"];
                options.ClientSecret = Configuration["Auth0:ClientSecret"];

                // Set response type to code
                options.RespOnseType= "code";

                // Configure the scope
                options.Scope.Clear();
                options.Scope.Add("openid");
                options.Scope.Add("profile");
                options.Scope.Add("email");
                options.Scope.Add("offline_access");
                options.CallbackPath = new PathString("/signin-auth0");
                options.ClaimsIssuer = "Auth0";
                options.SaveTokens = true;
                options.Events = new OpenIdConnectEvents
                {
                    OnRemoteFailure= cOntext=> {
                            
                    },
                    OnRedirectToIdentityProvider= cOntext=>
                    {
                        context.ProtocolMessage.SetParameter("audience", $"{ Configuration["Auth0:ApiIdentifier"]}");    
                        return Task.FromResult(0);
                    },
                    OnRedirectToIdentityProviderForSignOut= (context) =>
                    {
                        
                    }
                };
            });

在登录控制器中,我有一个登录操作,它只设置会话值并调用ChallengeAsync打开Auth0登录:

await HttpContext.ChallengeAsync("Auth0", new AuthenticationProperties() { IsPersistent = true, ExpiresUtc = DateTime.UtcNow.AddMinutes(Global.MAX_LOGIN_DURATION_MINUTES), RedirectUri = returnUri });

"returnUri"参数是返回此同一控制器的完整路径,但操作不同.当这个动作被击中时,来自auth0登录的两个COOKIE(即https://ourcompany.eu.auth0.com)和我在登录操作中设置的会话数据在iOS 12中丢失.

我能以其他方式在iOS 12上运行吗？所有帮助赞赏.

1> Tarostar..：

我终于明白了.默认情况下设置的COOKIE使用SameSiteMode.Lax.这种方法在iOS 12之前一直运行良好,现在需要设置为iOS 12 SameSiteMode.None.

这是我使用的修改使它再次运行:

.AddCOOKIE(optiOns=>
            {
                options.COOKIE.Path = "/";
                options.SlidingExpiration = false;
                options.COOKIE.SameSite = SameSiteMode.None;
                options.COOKIE.Expiration = TimeSpan.FromMinutes(Global.MAX_LOGIN_DURATION_MINUTES);
            })

仔细阅读RFC6265 [§5.3.7](https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02#section-5.3.7)和[§8.8.3](https ://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-02#section-8.8.3),这似乎是任何需要遍历涉及跨源请求的SSO流的COOKIE的预期解决方案.有关更多上下文,请参阅[WebKit问题](https://bugs.webkit.org/show_bug.cgi?id=188165).

推荐阅读

email
Gitlab接入公司内部单点登录的安装和配置教程

本文介绍了如何将公司内部的Gitlab系统接入单点登录服务，并提供了安装和配置的详细教程。通过使用oauth2协议，将原有的各子系统的独立登录统一迁移至单点登录。文章包括Gitlab的安装环境、版本号、编辑配置文件的步骤，并解决了在迁移过程中可能遇到的问题。 ... [详细]

蜡笔小新 2023-12-10 14:38:53
int
Android实战——jsoup实现网络爬虫，糗事百科项目的起步

本文介绍了Android实战中使用jsoup实现网络爬虫的方法，以糗事百科项目为例。对于初学者来说，数据源的缺乏是做项目的最大烦恼之一。本文讲述了如何使用网络爬虫获取数据，并以糗事百科作为练手项目。同时，提到了使用jsoup需要结合前端基础知识，以及如果学过JS的话可以更轻松地使用该框架。 ... [详细]

蜡笔小新 2023-12-11 09:19:45
config
.NetCoreWebApi生成Swagger接口文档的使用方法

本文介绍了使用.NetCoreWebApi生成Swagger接口文档的方法，并详细说明了Swagger的定义和功能。通过使用Swagger，可以实现接口和服务的可视化，方便测试人员进行接口测试。同时，还提供了Github链接和具体的步骤，包括创建WebApi工程、引入swagger的包、配置XML文档文件和跨域处理。通过本文，读者可以了解到如何使用Swagger生成接口文档，并加深对Swagger的理解。 ... [详细]

蜡笔小新 2023-12-09 19:33:41
range
oracle11g 过程,oracle11g 安装过程

安装oracle软件1创建用户组、用户和目录bjdb节点下：[rootnode1]#groupadd-g200oinstall[rootnode1]#groupad ... [详细]

蜡笔小新 2023-12-09 08:41:56
int
Python15行代码实现免费发送手机短信，推送消息「建议收藏」

Python15行代码实现免费发 ... [详细]

蜡笔小新 2023-10-17 20:46:15
request
解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法，包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时，还介绍了修改nginx的error.log日志级别为debug，以便查看详细日志信息。 ... [详细]

蜡笔小新 2023-12-12 13:19:04
config
Linux的uucico命令使用方法及工作模式介绍

本文介绍了Linux的uucico命令的使用方法和工作模式，包括主动模式和附属模式。uucico是用来处理uucp或uux送到队列的文件传输工具，具有操作简单快捷、实用性强的特点。文章还介绍了uucico命令的参数及其说明，包括-c或--quiet、-C或--ifwork、-D或--nodetach、-e或--loop、-f或--force、-i或--stdin、-I--config、-l或--prompt等。通过本文的学习，读者可以更好地掌握Linux的uucico命令的使用方法。 ... [详细]

蜡笔小新 2023-12-11 16:45:51
int
Oracle存储过程写法小例子及已命名的异常

本文介绍了Oracle存储过程的基本语法和写法示例，同时还介绍了已命名的系统异常的产生原因。 ... [详细]

蜡笔小新 2023-12-11 15:10:15
email
无法使用fetch在服务器端读取/获取发布的数据

本文介绍了一个React Native新手在尝试将数据发布到服务器时遇到的问题，以及他的React Native代码和服务器端代码。他使用fetch方法将数据发送到服务器，但无法在服务器端读取/获取发布的数据。 ... [详细]

蜡笔小新 2023-12-11 11:26:28
email
GPT-3发布，动动手指就能自动生成代码的神器来了！

近日，OpenAI发布了最新的NLP模型GPT-3，该模型在GitHub趋势榜上名列前茅。GPT-3使用的数据集容量达到45TB，参数个数高达1750亿，训练好的模型需要700G的硬盘空间来存储。一位开发者根据GPT-3模型上线了一个名为debuid的网站，用户只需用英语描述需求，前端代码就能自动生成。这个神奇的功能让许多程序员感到惊讶。去年，OpenAI在与世界冠军OG战队的表演赛中展示了他们的强化学习模型，在限定条件下以2:0完胜人类冠军。 ... [详细]

蜡笔小新 2023-12-11 11:04:43
metadata
SpringBoot整合SpringSecurity+JWT实现单点登录

SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ... [详细]

蜡笔小新 2023-12-11 08:21:41
select
REVERT权限切换的操作步骤和注意事项

本文介绍了在SQL Server中进行REVERT权限切换的操作步骤和注意事项。首先登录到SQL Server，其中包括一个具有很小权限的普通用户和一个系统管理员角色中的成员。然后通过添加Windows登录到SQL Server，并将其添加到AdventureWorks数据库中的用户列表中。最后通过REVERT命令切换权限。在操作过程中需要注意的是，确保登录名和数据库名的正确性，并遵循安全措施，以防止权限泄露和数据损坏。 ... [详细]

蜡笔小新 2023-12-10 19:41:02
request
Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案

本文讨论了在Servlet多用户登录时可能出现的HttpSession会话信息覆盖问题，并提供了解决方案。通过分析JSESSIONID的作用机制和编码方式，我们可以得出每个HttpSession对象都是通过客户端发送的唯一JSESSIONID来识别的，因此无需担心会话信息被覆盖的问题。需要注意的是，本文讨论的是多个客户端级别上的多用户登录，而非同一个浏览器级别上的多用户登录。 ... [详细]

蜡笔小新 2023-12-10 12:00:40
request
微信官方授权及获取OpenId的方法，服务器通过SpringBoot实现

主要步骤：前端获取到code(wx.login)，传入服务器服务器通过参数AppID和AppSecret访问官方接口，获取到OpenId ... [详细]

蜡笔小新 2023-12-10 10:54:58
jar
Jboss的EJB部署描述符standardjaws.xml配置步骤详解

本文详细介绍了Jboss的EJB部署描述符standardjaws.xml的配置步骤，包括映射CMP实体EJB、数据源连接池的获取以及数据库配置等内容。 ... [详细]

蜡笔小新 2023-12-09 18:15:53

小三coolboy958_818

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章