这是我的设置:
- 我有一个在 nodejs 中实现的 http 服务器,它公开了 api 端点。这是通过 nginx 使用 ssl 反向代理到 api.domain.com。这是配置:
1 server {
2 listen 80;
3 server_name api.domain.com;
4 access_log /var/log/nginx/api.access.log;
5 location / {
6 proxy_pass http://127.0.0.1:3000/;
7 }
8 }
9
10 server {
11 listen 443;
12 server_name api.domain.com;
13 access_log /var/log/nginx/api.access.log;
14 ssl on;
15 ssl_certificate /path/to/ssl/server.crt;
16 ssl_certificate_key /path/to/ssl/server.key;
17 location / {
18 proxy_pass https://127.0.0.1:3001/;
19 }
20 }
然后我让 nginx 在 dashboard.domain.com 下传送静态上下文文件,该文件旨在使用来自 api.domain.com 的 api。这是设置:
1 server {
2 listen 80;
3 server_name dashboard.domain.com;
4 root /path/to/static/site;
5 }
我想使用 CORS 执行此操作,我确保静态站点上的 js 在所有请求中发送正确的 Origin header 。我实现了一个非常简单的登录机制。这是我在 api 端点上使用的 coffeescript 代码:
# server.coffee
app.configure ->
app.use middleware.setP3PHeader()
app.use express.bodyParser()
app.use express.cookieParser()
app.use express.session
secret: conf.session.secret
key: conf.session.key
cookie:
maxAge: conf.session.maxAge
app.use express.methodOverride()
app.use express.query()
app.use express.errorHandler()
# routes.coffee
app.options '*', shop.cors, shop.options
app.post '/login', shop.cors, shop.login
app.post '/logout', shop.cors, shop.logout
app.get '/current-user', shop.cors, shop.current
# shop.coffee
exports.options = (req, res) ->
res.send 200
exports.cors = (req, res, next) ->
allowed = ['http://dashboard.domain.com', 'http://localhost:3000']
origin = req.get 'Origin'
if origin? and origin in allowed
res.set 'Access-Control-Allow-Origin', origin
res.set 'Access-Control-Allow-Credentials', true
res.set 'Access-Control-Allow-Methods', 'GET,POST'
res.set 'Access-Control-Allow-Headers', 'X-Requested-With, Content-Type'
next()
else
res.send 403, "Not allowed for #{origin}"
exports.login = (req, res) ->
unless req.body.email? and req.body.password?
res.send 400, "Request params not correct #{req.body}"
models.Shop.findOne()
.where('email').equals(req.body.email)
.where('password').equals(req.body.password)
.exec (err, shop) ->
if err? then return res.send 500, err.message
unless shop? then return res.send 401, "Not found for #{req.body}"
req.session.shopId = shop.id
res.send 200, shop.publish()
exports.logout = (req, res) ->
delete req.session.shopId
res.send 200
exports.current = (req, res) ->
unless req.session.shopId?
return res.send 401, "Not logged in!"
models.Shop.findById(req.session.shopId)
.exec (err, shop) ->
if err? then return send.res 500, err.message
unless shop? then return res.send 404, "No shop for #{req.session.shopId}"
res.send 200, shop.publish()
问题是这样的:
1. 我首先调用 /login 并获得一个与已登录用户的新 session (req.session.shopId)
2. 然后我调用 /current-user 但是 session 消失了! nodejs服务器收到的session id不同,因此创建了不同的session
最佳答案
看起来您有一个全局代理指令 (proxy_pass),但您没有明确处理 header 转发(其中,大概 session token 作为 cookie 存在),而且您还需要想想什么构成了(共享) session 缓存键。
可能会尝试这样的事情:
location / {
proxy_pass http://127.0.0.1:3000/;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_http_version 1.1;
proxy_cache pcache;
proxy_cache_key "$scheme$host$request_method$request_uri";
}
另外,如果 node.js 服务器在同一个盒子上,不确定为什么要在本地主机上通过 ssl 连接 (proxy_pass https://127.0.0.1:3001/)。您可能想通过执行以下操作来考虑使用重写指令公开仅 SSL 的公共(public)面孔:rewrite ^ https://api.domain.com$request_uri?永久的;
另请参阅:Node.js + Nginx - What now? [SO] 基本设置,以及 http://www.ruby-forum.com/topic/4408747从 nginx 反向代理配置 snafu 中很好地讨论丢失的(甚至更糟的 - 泄漏!) session 。
关于node.js - nginx 反向代理设置在执行 CORS 请求时不保留 session ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16783657/