[Question] 通过神雨网关会强制删除cookie

[guoliang3]

Question

最近改造了一个公司之前的项目有一个问题
就是接入cas单点登录以后通过神雨网关会强制删除cookie

在浏览器响应里会有如下
SESSION=; Path=/; Max-Age=0; Expires=Thu, 01 Jan 1970 00:00:00 GMT; HttpOnly; SameSite=Lax
相当于session失效了

但是跳过网关直接请求服务就没有这个设置 不知道在哪里设置的

shenyu版本
2.5.0
shenyu

[github-actions]

👋 Hello @yuluo-yx

A new issue has been opened by @guoliang3:

• Title: [Question] 通过神雨网关会强制删除cookie
• Link: [Question] 通过神雨网关会强制删除cookie #6314

Please review when you have time. Thank you! 🙏

[guoliang3]

......

[yuluo-yx]

感觉不是 Shenyu 在代理时主动删除了后端 Cookie，是 v2.5.0 版本的 shenyu 自身的 WebFlux/Security 会话机制和系统里的 SESSION 冲突了。SESSION=; Max-Age=0; Expires=Thu, 01 Jan 1970 ... 这种响应头像是 Spring WebFlux 在过期自己的 session cookie。

v2.5.0 的 oauth2 配置里启用了 WebFlux Security 过滤链，会访问 exchange.getSession()；如果浏览器把后端服务的 SESSION 一起带到网关，但网关本身没有对应 session，就可能在响应提交前回写一个删除 SESSION 的 Set-Cookie。所以会出现“直连后端正常，经过网关后 SESSION 被清掉”的情况。

看下是不是用了 Shenyu 的 oauth2 相关 starter 配置或者换个网关的 cookie 名字改掉试试。

@guoliang3 另外我觉得也升级到最新版本试试，

[guoliang3]

感觉不是 Shenyu 在代理时主动删除了后端 Cookie，是 v2.5.0 版本的 shenyu 自身的 WebFlux/Security 会话机制和系统里的 SESSION 冲突了。SESSION=; Max-Age=0; Expires=Thu, 01 Jan 1970 ... 这种响应头像是 Spring WebFlux 在过期自己的 session cookie。

v2.5.0 的 oauth2 配置里启用了 WebFlux Security 过滤链，会访问 exchange.getSession()；如果浏览器把后端服务的 SESSION 一起带到网关，但网关本身没有对应 session，就可能在响应提交前回写一个删除 SESSION 的 Set-Cookie。所以会出现“直连后端正常，经过网关后 SESSION 被清掉”的情况。

看下是不是用了 Shenyu 的 oauth2 相关 starter 配置或者换个网关的 cookie 名字改掉试试。

@guoliang3 另外我觉得也升级到最新版本试试，

1.是的我也发现SESSION这个名字冲突了如下图,只有SESSION被删除了其他的没变

2.看样子确实是shenyu-spring-boot-starter-plugin-oauth2的问题

注释掉shenyu-spring-boot-starter-plugin-oauth2 就不删除了

我发现这个插件还是关闭状态

但是现在有个问题 这个项目是老前辈留下来的 我现在需要集成cas 就还是要是用cookie和session
目前让甲方去改名字肯定不能了,已知是 shenyu-spring-boot-starter-plugin-oauth2 的问题

请问怎嘛修改 技能兼容session 这个名字又能不改变老项目

[yu199195]

直接注释掉shenyu-spring-boot-starter-plugin-oauth2 不就解决了吗

[guoliang3]

直接注释掉shenyu-spring-boot-starter-plugin-oauth2 不就解决了吗

是的 我现在就是直接注释掉了 但是不知道老前辈的代码有没有用到