web-dev-qa-db-ja.com

Keycloak:新しいChrome SameSite / Secure cookieの実施により、トークンリクエスト内にセッションCookieがありません。

最近、Keycloakを使用する私のアプリケーションは、認証後に400トークン要求での動作を停止しました。

これまでに見つけたのは、トークンリクエスト内で、Keycloak Cookie(AUTH_SESSION_ID、KEYCLOAK_IDENTITY、KEYCLOAK_SESSION)がリクエストヘッダー内で送信されず、トークンのリクエストが失敗し、アプリケーションがセッションエラーを受け取ることです。

さらに掘り下げてみると、ChromeはSameSite属性が設定されていないCookieをブロックするようになりました。これはキークロークCookieの場合であり、それが認証後にトークン取得リクエスト内で解析されない理由です。

私が得るエラー:-

enter image description herehttps://blog.chromium.org/2019/10/developers-get-ready-for-new.html

https://adzerk.com/blog/chrome-samesite/

Keycloakサーバーと通信するためにKeycloakライブラリによって保護されたアプリケーションをブロックするため、これは非常に深刻です。

更新:新しいgoogle chrome= cookie SameSite属性、SameSite属性が正しく設定されていないcookieを使用するサードパーティライブラリCookieは無視されます https://blog.chromium.org/2019/10/developers-get-ready-for-new.html

https://www.chromium.org/updates/same-site

4
Ziko

ライブラリを更新するまでの短時間のソリューションを探している人向け。

Chromeでは次のことができます:-

  • Chrome:// flags /に移動します
  • 「Samesite」を検索
  • [SameSite by default cookies]および[SameSite without Cookies be secure]フラグを無効にします。
  • 再起動します。
0
Ziko