CORS跨域、Cookie传递SessionID实现单点登陆后的权限认证的移动端兼容性测试报告

简述

本文仅记录如标题所述场景的测试所得，因为场景有些特殊，且并不需兼容全部浏览器，因此本文的内容对读者也许并没有做用，仅为记录。

场景、与实现

• 需在移动端单点登陆
• 需在移动端跨域访问咱们的服务

基于历史缘由：

• 单点登陆验证后，如Web网站同样，用Cookie携带SessionID到服务器，服务器根据SessionID管理该用户会话、权限
• 跨域用CORS，在服务端和客户端有以下设置。

服务端响应：

httpResponse.setHeader("Access-Control-Allow-Origin", "http://example.com:8080");
httpResponse.addHeader("Access-Control-Allow-Credentials", "true");
httpResponse.addHeader("Access-Control-Allow-Methods", "HEAD,POST,GET,PUT,DELETE,OPTIONS");

客户端Ajax请求时设置withCredentials参数为true，记得返回Cookie的首次请求和其它请求都需设置：

function login() {
    $.ajax({
        url : urlPrefix + "/LoginServlet",
        type : "post",
        xhrFields: {
            withCredentials : true
        },
        success : function(data, name) {
            alert(data)
        }
    });
}

function test() {
    $.ajax({
        url : urlPrefix + "/BusinessServlet",
        type : "post",
        xhrFields: {
            withCredentials : true
        },
        success : function(data, name) {
            alert(data)
        }
    });
}

问题

测试过程：
A项目部署在a机器，B项目部署在a机器，B项目的页面跨域访问A项目
测试结果：

• 在Web端验证基本没问题
• 在移动端，IOS的Safari浏览器须要在设置 -> Safari -> 阻止Cookie -> 始终禁止才不能经过Cookie传递SessionID

测试过程：
A项目部署在a机器，B项目部署在b机器，B项目的页面跨域访问A项目。
若是a机器和b机器同属同一局域网：

• 在Web端验证基本没问题
• 在移动端，IOS的Safari浏览器须要在设置 -> Safari -> 阻止Cookie -> 始终容许、容许访问过的网站、仅容许当前网站能经过Cookie传递SessionID
• 在移动端，个人IOS的QQ浏览器没问题

若是a机器和b机器其中之一属于外网：

• 在Web端验证基本没问题
• 在移动端，IOS的Safari浏览器须要在设置 -> Safari -> 阻止Cookie -> 始终容许才能经过Cookie传递SessionID
• 在移动端，个人IOS的QQ浏览器有问题

目前还没探索出的缘由，根据测试结果，可能会改成其它实现方法，好比单点登陆后用JWT验证会话，用JSONP跨域。