我有一个实现OpenID Connect客户端的HTTP服务器。 OpenID Connect协议涉及许多重定向,其中一个给我带来麻烦,可能是由于Referer头部的存在。 Firefox,Chrome和IE出现问题。Cookie未发送重定向。 Referer是罪魁祸首吗?
- 的请求涉及到我的服务器。浏览器被重定向到OpenID提供程序。
- OpenID提供程序验证最终用户并将浏览器重定向到我服务器上的端点。
- 我的服务器与OpenID提供程序交互以确定最终用户的身份并为用户建立会话。
- 浏览器被重定向回我的服务器,重新执行原始请求,这次是通过cookie中的会话标识。
我创建了一个简单的OpenID Connect Provider实现进行测试,一切正常。但是,在使用salesforce.com进行测试时,步骤4中的最终重定向存在问题。使用salesforce.com时,最终请求不包含Cookie标头。
测试与我的ID连接提供商
在步骤4中发送给用户的浏览器的响应:
HTTP/1.1 302 Found
Set-Cookie: session=c925f5006beb15cab779b292fe37e727; path=/; secure; HttpOnly
Location: https://localhost:21201/targetService
Content-Type: text/html; charset=UTF-8
Content-Length: 75
浏览器回来了:
GET /targetService HTTP/1.1
Host: localhost:21201
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
Cookie: session=c925f5006beb15cab779b292fe37e727
那看起来不错,请求很荣幸。请求的资源返回200状态。
测试使用salesforce.com
在步骤4中发送给用户的浏览器的响应:
HTTP/1.1 302 Found
Set-Cookie: session=5c6980f0ca3a1860b66880c836865eb0; path=/; secure; HttpOnly
Location: https://localhost:21200/targetService
Content-Type: text/html; charset=UTF-8
Content-Length: 75
浏览器回来了:
GET /targetService HTTP/1.1
Host: localhost:21200
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36
DNT: 1
Referer: https://na16.salesforce.com/setup/secur/RemoteAccessAuthorizationPage.apexp?source=CAAAAVKuWovcME8wODAwMDAwMDAwMDA0AAAAxrM5iJVLBE88gApP096QhF5f83j0HN8ziJiIAdQEiiPmEiBfkMSrZVdxHPiO0EmDxIeKxZCkfidhCpaB4sEOkTNXsBjtNOE3NuhngS-cU8NPzTGM5aSnS8GiPgfui_7SvRh0y6jfFqYg_WkIh0RDK9u7KQjuz4VsFy5lJ2wBP0tyKSmpKSoXVCSxiwwcRZJbCjZVxWwiwodVVf5YfgAOpJ8fF64-swwZNxzi7-ZpTPPZVBIJtxaO_VKIDbrRH9BnaIoo7FRld4P0pYmlh7SOk4I5YhibW_dc-NqQ8YHj7EXv9EMc0Zk2PFDfP8QJV1LJ_pdu-UzpI-r78JTMQlZeF6OC2ANaMGykEyD9BI7cFNKu6UD1MljaiRCcEuMdqP2n7s0yFmRt1o-wl9gSIY6BHq_0LshPlC_quufFA6qFwLEperjE3LZ78JBYLUTLFAlzM1GeGEh75MADZZqvWQE7DTbrvYcB29Q0tMK2jC22FTp8GqfxgSD5UBirfCWjfLDkDccII2g1AwteoH0tBTwhNUQqA2bb8Tl7aRQ_vIHxRboN9h5WlSpZEqphiq_FJAL1F3bPoicoSCvFDxYzQj-SrlY%3D&display=page
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
正如你可以看到,浏览器通过发送下一个响应重定向请求没有cookie。由于没有cookie,我的服务器将浏览器重定向到OpenID提供程序以进行身份验证,从而启动无限循环。
我可以看到的唯一区别是,最终请求,使用salesforce.com测试时,包括引用站点。我怀疑这可能会导致它不包含cookie。是这样吗?如果是这样,关于我能做些什么的想法。显然,我无法控制salesforce.com的功能。