nginx reverse proxy configuration ne permet pas de conserver l'id de session lors de la SCRO demandes

Voici ma configuration:
- J'ai un serveur http en œuvre dans nodejs qui expose les api des points de terminaison. C'est l'inverse mandaté par le biais de nginx pour api.domain.com avec ssl. Voici la config:

 1 server {                                                           
 2     listen 80;                                                      
 3     server_name api.domain.com;                                     
 4     access_log /var/log/nginx/api.access.log;                       
 5     location / {                                                    
 6         proxy_pass    http://127.0.0.1:3000/;                       
 7     }                                                               
 8 }                                                                   
 9                                                                     
 10 server {                                                           
 11     listen 443;                                                    
 12     server_name api.domain.com;                                    
 13     access_log /var/log/nginx/api.access.log;                      
 14     ssl on;                                                        
 15     ssl_certificate /path/to/ssl/server.crt;     
 16     ssl_certificate_key /path/to/ssl/server.key;         
 17     location / {
 18         proxy_pass    https://127.0.0.1:3001/;                                
 19     }                                                              
 20 }

Puis j'ai nginx offrant un contexte statique fichier sous dashboard.domain.com qui vise à consommer de l'api à partir d' api.domain.com. Voici la configuration:

  1 server {                                                                                                                                 
  2     listen 80;                                                                  
  3     server_name dashboard.domain.com;                                        
  4     root /path/to/static/site;                                                                                             
  5 }

Je veux le faire à l'aide de la SCRO, j'ai fait en sorte que le js sur le site statique est de l'envoi de la bonne Origin - tête à toutes les demandes. J'ai mis en place un système très simple mécanisme de connexion. Voici la coffeescript code que j'utilise sur l'api d'extrémité:

# server.coffee
app.configure ->
app.use middleware.setP3PHeader()
app.use express.bodyParser()
app.use express.cookieParser()
app.use express.session
secret: conf.session.secret
key: conf.session.key
cookie:
maxAge: conf.session.maxAge
app.use express.methodOverride()
app.use express.query()
app.use express.errorHandler()
# routes.coffee
app.options '*', shop.cors, shop.options
app.post '/login', shop.cors, shop.login
app.post '/logout', shop.cors, shop.logout
app.get '/current-user', shop.cors, shop.current
# shop.coffee
exports.options = (req, res) ->
res.send 200
exports.cors = (req, res, next) ->
allowed = ['http://dashboard.domain.com', 'http://localhost:3000']
origin = req.get 'Origin'
if origin? and origin in allowed
res.set 'Access-Control-Allow-Origin', origin
res.set 'Access-Control-Allow-Credentials', true
res.set 'Access-Control-Allow-Methods', 'GET,POST'
res.set 'Access-Control-Allow-Headers', 'X-Requested-With, Content-Type'
next()
else
res.send 403, "Not allowed for #{origin}"
exports.login = (req, res) ->
unless req.body.email? and req.body.password?
res.send 400, "Request params not correct #{req.body}"
models.Shop.findOne()
.where('email').equals(req.body.email)
.where('password').equals(req.body.password)
.exec (err, shop) ->
if err? then return res.send 500, err.message
unless shop? then return res.send 401, "Not found for #{req.body}"
req.session.shopId = shop.id
res.send 200, shop.publish()
exports.logout = (req, res) ->
delete req.session.shopId
res.send 200
exports.current = (req, res) ->
unless req.session.shopId?
return res.send 401, "Not logged in!"
models.Shop.findById(req.session.shopId)
.exec (err, shop) ->
if err? then return send.res 500, err.message
unless shop? then return res.send 404, "No shop for #{req.session.shopId}"
res.send 200, shop.publish()

Le problème est le suivant:
1. J'ai d'abord faire un appel à /login et je reçois une nouvelle session avec un utilisateur connecté (req.session.shopId)
2. Puis-je appeler /current-user mais la session est parti! L'id de session reçue par le serveur nodejs est différent et donc il crée une autre session

OriginalL'auteur alexandru.topliceanu | 2013-05-28

  1. 4

    Il semble que vous avez un proxy global de la directive (proxy_pass), mais vous n'êtes pas explicitement de manutention en-tête de transmission (d'où, sans doute que le jeton de session vit comme un cookie), et en outre, vous devez penser à ce qui constitue une (partagé) de cache de session clé.

    Pouvez essayer quelque chose comme ceci:

    location / {
proxy_pass  http://127.0.0.1:3000/;                                
proxy_redirect off;
proxy_set_header   X-Real-IP  $remote_addr;
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
proxy_set_header   X-Forwarded-Proto  $scheme;
proxy_set_header   Host  $http_host;
proxy_set_header   X-NginX-Proxy  true;
proxy_http_version 1.1;
proxy_cache pcache;
proxy_cache_key   "$scheme$host$request_method$request_uri";
}

    Aussi, si l'node.js le serveur est sur la même case, vous ne savez pas pourquoi vous connecter via ssl sur localhost (proxy_pass https://127.0.0.1:3001/). Vous pourriez envisager d'exposer un SSL uniquement public face à une réécriture de la directive en faisant un: rewrite ^ https://api.domain.com$request_uri? permanent;

    Voir aussi: Node.js + Nginx - Ce maintenant? [DONC] sur la base de l'installation, et http://www.ruby-forum.com/topic/4408747 pour une bonne discussion sur perdu (et pour le pire - coulé!) sessions à partir d'un reverse proxy nginx configuration snafu.

    OriginalL'auteur PapaK

  2. 1

    Si vous voulez avoir de la persistance de session, vous devez être sûr que vous avez configuré express-session module correctement. resave et saveUninitialized paramètres sont importants.

    De docs:

    réenregistrez

    Forces de la session, être enregistré à la session magasin, même si l'
    la session n'a jamais été modifié lors de la demande. En fonction de votre magasin
    ce sera peut-être nécessaire, mais il peut aussi créer des conditions de course où un
    le client effectue en parallèle les deux demandes de votre serveur et des modifications apportées aux
    la séance dans une requête peut être écrasé quand l'autre demande
    se termine, même si elle n'a apporté aucun changement (ce comportement dépend aussi de ce que
    magasin que vous utilisez).

    La valeur par défaut est true, mais en utilisant la valeur par défaut a été supprimée,
    comme la valeur par défaut qui va changer dans l'avenir. Merci de la recherche dans ce
    réglage et choisissez ce qui est approprié à votre cas d'utilisation. Généralement,
    vous aurez envie de falsification.

    Comment puis-je savoir si c'est nécessaire pour mon magasin? La meilleure façon de savoir
    est de vérifier avec votre banque si elle met en œuvre la méthode. Si c'
    n', alors vous pouvez en toute sécurité l'ensemble réenregistrez: faux. Si ce n'est pas de mettre en œuvre
    la méthode et votre magasin fixe une date d'expiration sur stockées
    les sessions, alors vous avez probablement besoin de réenregistrer: vrai.

    saveUninitialized

    Forces une session qui est "non initialisé" pour être sauvés dans le magasin. Un
    la session est initialisée quand il est nouveau, mais pas modifié. Le choix
    le faux est utile pour la mise en œuvre de sessions de connexion, la réduction de serveur
    l'utilisation du stockage, ou de se conformer à des lois qui exigent l'autorisation avant
    la définition d'un cookie. Le choix de faux sera également aider avec des conditions de course
    lorsqu'un client fait en parallèle de multiples demandes sans session.

    La valeur par défaut est true, mais en utilisant la valeur par défaut a été supprimée,
    comme la valeur par défaut qui va changer dans l'avenir. Merci de la recherche dans ce
    réglage et choisissez ce qui est approprié à votre cas d'utilisation.

    Remarque si vous utilisez la Session en conjonction avec PassportJS, Passeport
    va ajouter un vide Passeport objet de la session pour une utilisation après un utilisateur
    est authentifié, qui sera traité comme une modification de la
    session, à l'origine pour être sauvé.

    L'une de mes applications a ceci et cela fonctionne:

    app.use(session({
store: new RedisStore({
host: config.redis_instance_local_ip,
port: config.redis_instance_local_port
}),
secret: config.application_session_secret,
resave: false,
saveUninitialized: true
}));

    En outre, si vous voulez avoir collant séances (ou persistance de session) sur plusieurs nœuds d'équilibrage de charge par nginx, vous devez avoir la version commerciale de nginx, nginx plus. Voir http://nginx.com/products/session-persistence/

    OriginalL'auteur scaryguy