某机构客户单独开发了一套单点登录系统,用来对接云平台的用户登录 console, 通过这套额外的系统来实现单点登录云平台。
问题现象:
正常情况下登录后就能直接跳转到用户使用界面,登录失败后,仍旧弹出 console 页面,需要用户输入 console 端的账户名和密码,单点登陆失效。
问题解决思路:
- 优先恢复客户使用:提供给客户一个临时账号和密码,让客户验证通过输入console的账号和密码能否实现登陆,进而判断网络端是否有问题(当然从问题本身来看网络应该没有问题)。在征得客户同意的前提下,由后台修改用户的密码,让客户先通过输入用户名和密码的方式登陆,先解决使用上的问题,预留出时间让运维工程师排查问题。
- 问题分析:
- 从现象上分析可能是 cookie 验证的问题,出在单点系统和云平台跳转的环节上。
- 先要了解出现问题的环境,是所有环境还是部分环境(生产 or 测试),还是个别条件下,如果是个别环境或者个别条件下,就排除了云平台 console 自身的问题。
- 打开 F12 开发者模式,观察 headers的一些信息:例如 status code,remote address;根据 cookie 信息检查云平台中的日志记录,console 的输出等;重点观察 302 跳转。
- 询问开发人员cookie信息是在那个过程加上的,是不是加丢了,最近系统有没有升级
问题过程记录
开发这边答复最近没有升级,cookie 信息确认是加上了。
部分缓存带的 cookie 能够成功访问到云平台的 console,在云平台的日志中也能查到登录记录。
发现浏览器有提示信息:
黄色感叹号提示:
This set-cookie didn't specify a 'SameSite' attribute and was defaulted to 'SameSite=lax' and broke the same rules specified in the SameSitelax value.
samesite 是chrome 为了限制第三方 cookie 问题而加的功能,对于 chrome 80 后的版本,跨域的时候,Lax 在大多数情况下不发送第三方 cookie。
同时云平台这一侧的日志,找出浏览器80版本的访问记录,发现出现大量 302 重定向到 login 页面的请求。
4 月 3 号谷歌官方有这样一条消息:谷歌宣布回滚 samesite cookie 功能。
至此,问题基本告一段落,原来是浏览器版本的锅。
了解《Cookie 的 SameSite 属性》可以参考阮一峰的链接:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html