Sessions: securecookie: 값이 유효하지 않습니다

어떻게 해결하셨나요? :)

나도 이것을보고 있으며 그것을 지우거나 해결하는 방법을 알고 싶습니다.

오류 동작이 일관성이 있습니까? 아니면 일부 요청에만 영향을 줍니까?

2015년 6월 18일 목요일 오후 2:04 Dominic Hamon [email protected]
썼다:

나도 이것을보고 있으며 그것을 지우거나 해결하는 방법을 알고 싶습니다.

—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/gorilla/sessions/issues/16#issuecomment -113047123.

오류가 발생했을 때(500 대신) 유효한 페이지를 반환한 다음 브라우저에서 쿠키를 수동으로 삭제하여 이를 완화할 수 있었습니다. 인증/암호화 키를 업데이트했지만 기존 세션의 브라우저 측에 쿠키가 있기 때문에 발생했다고 생각합니다.

나는 이것을 완화하는 올바른 방법이 장기적으로 무엇인지 알지 못하므로 어떤 조언이라도 환영합니다.

이것을 피하려면 애플리케이션이 키를 마이그레이션하는 방법이 필요합니다.

나도이 문제에 부딪쳤다. 고릴라/세션 문서 에서 새 세션이 여전히 반환된다고 session.Save() 호출할 수 있으며 이후에 요청하는 브라우저는 유효한 새 세션 쿠키를 갖게 됩니다.

나는 같은 문제에 직면했고 처음에는 발견하기가 약간 어려웠습니다. 문제는 내가 가지고 있다는 것입니다.
var store = sessions.NewCookieStore(securecookie.GenerateRandomKey(10))
그래서 서버를 다시 시작할 때마다 저장소에 대한 새 키가 생성되고 이전에 웹 브라우저에 쿠키를 저장했다면 새 키를 사용하고 있기 때문에 쿠키를 디코딩하려고 할 때 오류가 발생합니다. 쿠키가 처음 생성되었을 때의 키가 아닙니다.
이것은 때때로 노드(머신)를 다시 시작해야 하고 해당 노드가 자체 키를 생성하여 다른 노드와 충돌을 일으킬 수 있기 때문에 kubernetes에 배포할 때 최악의 경우 발견하기 어려운 문제일 수 있습니다. 임의의 키를 생성하지 않는 것이 좋습니다. 대신 수동으로 키를 삽입하여 다음과 같은 문제에 직면하지 않도록 하십시오.
var store = sessions.NewCookieStore([]byte("asdaskdhasdhgsajdgasdsadksakdhasidoajsdousahdopj"))

소스 코드에 키/자격 증명을 포함해서는 안 됩니다. 대신 환경을 통해 전달해야 합니다(예: os.Getenv("APPNAME_SESSION_KEY") . 해당 환경은 배포 시스템에 의해 부트스트랩될 수 있습니다. k8s의 경우 Secrets 기능을 사용하여 https://kubernetes.io/docs/concepts/configuration/secret/#using -secrets-as-environment-variables

나는 또한 긴 keycloak 토큰으로 인해 영향을 받습니다.