tl;博士 阅读最后一段。
我正在使用 AppAuth ( https://github.com/openid/AppAuth-iOS ) 库来处理基于 OpenID 的用户身份验证,我想通过我的应用程序为其提供 SSO 体验。我的应用程序的部署目标是 iOS 11,这意味着 AppAuth 内部使用 SFAuthenticationSession。我正在使用授权流程,这意味着用户会通过 SFAuthenticationSession 看到一个基于 Web 的登录页面。当用户填写并提交凭据时,SFAuthenticationSession 调用带有 url 的完成(如果成功),从中可以解析授权 code。使用授权 code 通过 URLSession 的 token POST 请求独立于 SFAuthenticationSession 并检索 access_token。
整个流程是成功的,包括检索access_token,但是当我离开应用程序并在 Safari 中打开服务提供商提供的用户个人资料网页时,用户没有登录。我测试了与 Google 帐户 ( https://accounts.google.com) 相同的流程和 SSO 工作正常,例如当我打开 https://mail.google.com在 Safari 中我登录了。所以我怀疑我的服务提供商做错了什么。也许他们没有给我提供正确的示波器?但在联系他们之前,我想排除我的任何错误。现在我最直接的想法是,不知何故,与 session 相关的 cookie 不会存储在 Safari 中。由此我的问题如下。
我的问题。 token POST 请求是独立于 SFAuthenticationSession(不同的用户代理)发出的,那么如果不通过 SFAuthenticationSession,任何与 session 相关的 cookie 如何存储在设备(Safari)上?有什么方法可以在代码中调试 cookie 存储?
最佳答案
根据 OAuth 2.0 标准,token endpoint不需要资源所有者身份验证,与 authorization endpoint 相反, 确实如此。 (执行授权代码交换的脚本或后台 channel 不一定能够访问用户代理中设置的 HTTP cookie,并且默认情况下,浏览器不会在跨站点 XHR 中包含凭据。使用刷新 token 时,资源所有者根本不需要交互。)您的 URLSession 不会从 Safari 或 SFAuthenticationSession 获取任何 session cookie,并且不需要。
关于您的移动 Safari 体验,文档 ASWebAuthenticationSession ,SFAuthenticationSession 后继者,状态:
All cookies, except session cookies, can be shared with Safari.
SFAuthenticationSession 似乎也是如此。 Google 必须使用持久性 cookie,因此 session 共享可以与它们一起使用。
附带说明,即使使用持久性 cookie,在 iOS 11 环境中同步 cookie jar 时似乎也存在一些不一致,例如:http://www.openradar.me/radar?id=5036182937272320
关于ios - SFAuthenticationSession 如何在 Safari 中存储 session 相关的 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53670770/