验证临时票据过程中，无法从cookie中获取用户票据

老师，请教个问题：

将用户票据设置到cookie的过程是发生在，cas模块的统一登录过程，是由cas自己的登录页面发起的请求，相应的cookie设置到了sso.com这个域下

从cookie中获取用户票据的过程，是发生在验证临时票据的过程中，这个请求是mtv.com这个应用发起的，从request中获取cookie，再获取对应的用户票据，这个请求发生在mtv.com这个域下，应该是获取不到sso.com这个域下的cookie啊

我自己在本地跑的时候，也一直获取不到，下面的代码中的userTicket一直返回的是null

// 1. 验证并且获取用户的userTicket
String userTicket = getCookie(request, COOKIE_USER_TICKET);

100

收起

3回答

zhouywjava 2020-07-18 23:16:18

题主，我也遇到这个问题，请问题主后来是怎么解决了？

提问者初尘_勿忘 2020-02-23 08:04:09

查看前端代码的时候，发现使用了一个技巧

axios.defaults.withCredentials = true;

axios.post('http://www.sso.com:8090/verifyTmpTicket?tmpTicket=' + tmpTicket)

通过设置withCredentials参数，虽然请求跨域，但是cookie也是可以携带的，这个应该是个关键点。但是问题来了，我们目前的CAS认证的这种模式的目的就是为了解决顶级域名不同无法共享Cookie这个问题。通过设置withCredentials的方式是不是与CAS的初衷有点儿违背呢？

coding_zhang 2020-02-22 09:40:50

mtv请求不到sso域名下的，不能跨域。但是sso的后端是可以获取到的呀

coding_zhang #1

另外临时票据会在mtv站点前端发起请求携带到sso的，你可以根据前端源码也能梳理一下的哈

2020-02-22 09:43:19
coding_zhang #2

一旦初次登录成功，创建的的临时票据是会回调的

2020-02-22 09:44:28
提问者初尘_勿忘回复 coding_zhang #3

不是这个问题，我使用的是chrome浏览器存在问题，但是换成firefox就没有问题。查看了一下chrome浏览器的控制台，可以看到警告“A cookie associated with a cross-site resource at http://sso.com/ was set without the `SameSite` attribute. It has been blocked, as Chrome now only delivers cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.” 感觉和这个有关系

2020-02-22 14:56:07