当我使用 POSTMAN 在 golang api 上执行 POST 请求时,我成功地收到了作为 cookie 的 jwt 令牌,但是当我从浏览器执行此操作时,我没有收到任何 cookie

When I do POST request on golang api using POSTMAN I successfully receive the jwt token as a cookie but when I do it from browser I get no cookie

我用golang做了一个API。后端和前端 运行 在不同的服务器上。当我用 POSTMAN 测试 API 时,一切正常,我收到了包含 jwt 令牌的 cookie,但是当我从前端发出请求时,没有收到任何 cookie。

这是处理 CORS 的中间件:

func corsHandler(h http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        // origin := r.Header.Get("Origin")
        w.Header().Set("Access-Control-Allow-Origin", "http://localhost:5000")
        if r.Method == "OPTIONS" {
            w.Header().Set("Access-Control-Allow-Credentials", "true")
            w.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE")

            w.Header().Set("Access-Control-Allow-Headers", "Content-Type, X-CSRF-Token, Authorization, access-control-allow-origin")
            return
        }
        h.ServeHTTP(w, r)
    })
}

以下是 cookie 生成器:

    jwtCookie := &http.Cookie{
        Name:   "jwtToken",
        Secure: false,
        HttpOnly: true,
        Value:    tokenString,
        Expires:  expiryTime,
    }

    http.SetCookie(w, jwtCookie)
    w.Header().Add("Access-Control-Allow-Credentials", "true")
    w.WriteHeader(http.StatusOK)

以下是 ajax 请求:

       $.ajax({
            type: 'POST',
            url: 'http://localhost:8080/api/signin',
            data: JSON.stringify({
                "username": $('#username').val(),
                "password": $('#password').val()
            }),
            xhrFields: { withCredentials: true },
            contentType: "application/json",
            dataType: "json",
            success: function(data) {
                console.log(data);
            },
            error: function(message) {
                console.log(message.responseJSON);
            }
        });

在 firefox 中,响应 header 如下所示: As you can see in image 1, the cookie is received in header but it is not visible in storage

在 chrome 中,响应 header 如下所示: there is no cookie visible in chrome

我纠结了好久。任何帮助都是有价值的:)

在您的服务器响应中,将 HttpOnly 设置为 false,并在 chrome 中转到控制台并键入 document.cookie。您应该看到服务器设置的 cookie。

另一个选项是,将 HttpOnly 设置为 true。在 chrome 中,打开开发者工具,点击 Application 选项卡,您应该会在 Storage 下看到 Cookies。单击 Cookies,您应该会看到服务器设置的 cookie。

我必须为所有请求添加 w.Header().Add("Access-Control-Allow-Credentials", "true"),而不仅仅是 OPTIONS 预检请求,结果 chrome 没有显示存储中的 cookie,但它存在并且按预期工作,后来我在 firefox 中检查,cookie 在存储中可见。