Sessions: 코덱에 옵션을 올바르게 적용하지 않는 타사 저장소.

에 만든 2015년 07월 10일 · 17코멘트 · 출처: gorilla/sessions

이 패키지를 방금 업그레이드했는데 쿠키가 올바르게 설정되지 않았습니다. 일반 base64 인코딩 쿠키 데이터 대신 _ga = GA1.1.922831813.14264788986과 같은 항목을 설정하고 있습니다. 무슨 일이 일어나고 있는지 또는 언제 고장 났는지 알기 때문에 작동하는 버전으로 되돌릴 수 있습니까? 감사!

bug stale

출처

marksalpeter

가장 유용한 댓글

이는 또한 대부분의 스토어 구현에 영향을 미칩니다. 모두 백엔드 스토어에 ID를 저장하기 위해 보안 쿠키를 사용하기 때문입니다.

redistore 은 수동으로 SetMaxAge 호출하는 경우 올바른 구현의 절반이지만 기본 사례에 직접 적용하지 않습니다. 기본값 (30 일)은 보안 쿠키와 동일합니다.

간략히 살펴보면 _all_ 다른 상점이 영향을받는 것으로 보입니다. Options 구조체를 통한 MaxAge 설정은 CodecsFromPairs에서 생성 된 기본 보안 쿠키 인스턴스에 적용되지 않습니다. 대부분의 사용자는 보안 쿠키가 HMAC에 암시 적으로 포함 된 것보다 만료 날짜를 _less_ 설정한다고 생각하므로 대부분의 최종 사용자는이 버그를 겪지 않았을 것입니다.

FWIW : 또한 "먼 미래"쿠키 만료는 특별히 필요한 경우가 아니면 좋지 않다고 생각합니다.

elithrar 에 2015년 07월 12일

👍2

모든 17 댓글

"_ga"쿠키는 고릴라 / 세션과 관련이 없습니다. Google Analytics입니다.
쿠키.

고릴라 / 세션이 쿠키를 설정하지 않는 경우 (중단되지 않은
변경 사항) 관련 코드와 쿠키 창의 출력을 게시 할 수 있습니까?
브라우저에서? (검사기> 리소스> Chrome의 쿠키)

2015 년 7 월 10 일 금요일 오전 7:12 marksalpeter [email protected]
썼다:

이 패키지를 방금 업그레이드했는데 쿠키가 올바르게 설정되지 않았습니다. 이것의
일반 대신 _ga = GA1.1.922831813.14264788986과 같은 설정
base64로 인코딩 된 쿠키 데이터. 무슨 일이 일어나고 있는지 또는 이것이 언제 그렇게 깨 졌는지 알 수 있습니다.
작동하는 버전으로 되돌릴 수 있습니까? 감사!
—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/gorilla/sessions/issues/48.

elithrar 에 2015년 07월 10일

안녕하세요 Matt,

Mark와 함께 프로젝트를 진행 중이며 자세한 내용을 알려 드릴 수 있습니다. 그래서 원래 문제는 MaxAge를 매우 많은 수로 설정하더라도 30 일 후에 만료되는 쿠키에 대한 문제 였기 때문에 방금 패키지를 업데이트했습니다. 다음은 현재 사용 중이며 문제를 일으키는 인증 코드입니다.

const (
AUTH_SESSION_NAME = "인증 세션"
)

var (
config = jconfig.LoadConfig (global.CONFIG () + "securecookie.json")
authKey = [] byte (config.GetString ( "authorization_key"))
encryptionKey = [] byte (config.GetString ( "encryption_key"))
세션 = sessions.NewCookieStore (authKey, encryptionKey)
)

func init () {

apiRouter.HandleFunc("/auth/"   , Authenticate      )
apiRouter.HandleFunc("/deauth/"  , Deauthenticate   )
apiRouter.HandleFunc("/reauth/" , ReAuthenticate    )

// register complex data types for saving in sessions
gob.Register(&models.Device{})
gob.Register(&models.Manager{})
gob.Register(&models.SalesRep{})

// modify the options of the session store so that the auth cookie never expires (this is set so it expires in 200 years...)
session.Options.MaxAge = 6307200000

}

//이 핸들러는 장치 및 관리자를 위해 시스템에서 권한을 부여합니다.
// 요청자가 이미 인증 된 경우 해당 정보를 표시합니다. defferent를 인증하려면
// 계정, 먼저 클라이언트가 인증을 해제해야합니다.
//
// 매개 변수
// 사용자:
//
// 참고 :이 인증 함수에서 반환 된 데이터는 정확함 만 보장됩니다.
// 사용자가 처음 인증 할 때. 그렇지 않으면 세션에 캐시 된 데이터를 표시합니다.
//
func Authenticate (response http.ResponseWriter, request * http.Request) {

log.Println("Authenticate")

// open the session
auth_session, err :=  session.Get(request, AUTH_SESSION_NAME)
if err != nil {
    log.Println("there was an error retreiving the session:", err)
    InternalServerError(response, request)
    return
}

// already authroized as a manager
if manager, ok := auth_session.Values["manager"].(*models.Manager); ok {
    log.Printf("already logged in as manager %d", manager.Id)
    Success(response, request, manager)

// already authrorized as a device
} else if device, ok := auth_session.Values["device"].(*models.Device); ok {
    log.Printf("already logged in as device %d", device.Id)
    Success(response, request, device)

// attempt to gain authroization
} else {            
    fp  := parsers.FormParser(request)  

    // login as a manager
    if username, password := fp.GetString("user", ""), fp.GetString("pass", ""); username != "" && password != ""  {

        db := database.Open()
        defer db.Close()


        if manager := db.LoginAsManager(username, password); manager != nil {
            auth_session.Values["manager"] = manager

            // manager session error
            if err := auth_session.Save(request, response); err != nil {
                log.Printf("manager could not save session %s !\n", err.Error())
                InternalServerError(response, request)

            // manager login in success
            } else {
                log.Printf("logged in as manager %d !\n", manager.Id)
                Success(response, request, manager)     
            }

        // manager login failed
        } else {
            log.Printf("manager credentials not valid!")
            Unauthroized(response, request)
        }

    // login as a salesrep
    } else if username, password := fp.GetString("username", ""), fp.GetString("password", ""); username != "" && password != "" {

        db := database.Open()
        defer db.Close()


        if sales_rep_id := db.LoginAsSalesRep(username, password); sales_rep_id > 0 {

            sales_reps := db.GetSalesRep(&models.SalesRep{ Id: sales_rep_id });

            auth_session.Values["sales_rep"] = sales_reps[0];

            // sales rep session error
            if err := auth_session.Save(request, response); err != nil {
                log.Printf("sales rep could not save session %s !\n", err.Error())
                InternalServerError(response, request)

            // sales rep login in success
            } else {
                log.Printf("logged in as sales rep %d !\n", manager.Id)
                Success(response, request, manager)     
            }

        // sales rep login failed
        } else {
            log.Printf("sales rep credentials not valid!")
            Unauthroized(response, request)
        }

    // login as a device
    } else if pin_code := fp.GetInt32("PinCode", -1); pin_code > 0 {

        db := database.Open()
        defer db.Close()

        if devices := db.GetDevice(&models.Device{ PinCode:pin_code }, nil); len(devices) > 0 {
            auth_session.Values["device"] = &devices[0]

            // device session error
            if err := auth_session.Save(request, response); err != nil {
                log.Printf("device could not save session %s !\n", err.Error())
                InternalServerError(response, request)

            // device login in success
            } else {
                log.Printf("logged in as device %d !\n", devices[0].Id)
                Success(response, request, devices[0])      
            }

        // device login failed
        } else {
            log.Printf("device credentials not valid!")
            Unauthroized(response, request)
        }


    // no valid credentials were provided   
    } else {
        log.Println("no valid deivce or manager credentials")
        BadRequest(response, request)
    }

}

}

그리고 이것은 우리가 30 일 후에 로그에서 얻는 것입니다.

장치 쿠키 : authentication-session = _KaJDVq4lIdQgeHiHcnSMw1IEPDyg3-9XEIBBPxw ==; 경로 = /; Expires = 월요일, 2215 년 5 월 15 일 20:47:49 UTC; 최대 연령 = 6307200000

2015/07/10 15:56:04 /routers/api/Auth.go:70 : securecookie : 만료 된 타임 스탬프

쿠키는 MaxAge 설정에 관계없이 30 일 후에 모두 만료되는 것 같습니다. 우리에게 큰 도움이 되십시오. 감사합니다!

wbaron 에 2015년 07월 10일

좋아, 나는 전체 상점에서 MaxAge 를 2 개월 (86400 * 60)로 설정하는 최소한의 데모 프로그램을 모의했다.

package main

import (
    "fmt"
    "log"
    "net/http"

    "github.com/gorilla/sessions"
)

var store = sessions.NewCookieStore([]byte("some-appropriately-auth-key"))

func SomeHandler(w http.ResponseWriter, r *http.Request) {
    session, err := store.Get(r, "example")
    if err != nil {
        http.Error(w, "No good!", 500)
        return
    }

    session.Values["gorilla"] = "sessions!"
    err = session.Save(r, w)
    if err != nil {
        http.Error(w, "No good!", 500)
        return
    }

    fmt.Fprintf(w, "%v", session.Values["gorilla"])
}

func main() {
    store.Options = &sessions.Options{
        MaxAge: 86400 * 60, // 2 months
    }

    http.HandleFunc("/", SomeHandler)
    log.Fatal(http.ListenAndServe(":8002", nil))
}

이것은 내가 예상했던 만료 시간을 제공합니다.

Expiry time test

삼십삼일도 나에게 그물 ~ 수동으로 앞으로 내 시계를 설정 expired timestamp 에서 오류를 securecookie 오류가 -.

브라우저에서 쿠키를 지우고 시계를 now ()로 다시 설정 한 다음 다음을 통해 기본 *securecookie.SecureCookie MaxAge 을 강제 실행합니다.

    store.Options = &sessions.Options{
        MaxAge: 86400 * 60, // 2 months
    }
    for _, s := range store.Codecs {
        if cookie, ok := s.(*securecookie.SecureCookie); ok {
            cookie.MaxAge(86400 * 90)
        }
    }

각 코덱의 maxAge 필드가 http.Cookie 작성할 때 브라우저에 표시되는 내용에 영향을주지 않기 때문에 앞으로 +2 개월 만료되는 브라우저 쿠키를 제공합니다. 그러나 시계를 +33 일로 설정하면 만료 된 타임 스탬프 오류가 발생하지 않습니다.

그래서 몇 가지 파고 들었습니다.

https://github.com/gorilla/securecookie/blob/master/securecookie.go#L244 -L246에서 "securecookie : 만료 된 타임 스탬프"오류가 생성됩니다.
이 줄은 CookieStore 생성시 MaxAge를 설정합니다. https://github.com/gorilla/sessions/blob/master/store.go#L54 -L56
옵션을 적용하기 전에 CodecsFromPairs 를 호출하면 각 *securecookie.SecureCookie (코덱 슬라이스의 일부) 내 s.MaxAge 가 securecookie의 기본값 인 86400 * 30 됩니다.
위의 스 니펫에 따라 sessions.CookieStore.Codecs 초과하고 각 보안 쿠키 인스턴스에 MaxAge를 설정하면이를 우회합니다.

TL; DR : 근본 원인은 브라우저에 작성된 http.Cookie 가 옵션에서 설정 한 타임 스탬프를 가져 오지만 기본 보안 쿠키 인스턴스에 대한 HMAC는 date | value | mac-여기서 date는 옵션이 수정하지 않는 _default_ MaxAge. 이후 30 일 이상이되면 HMAC 유효성 검사가 실패합니다.

수정 사항은 sessions.NewCookieStore 가 생성하는 코덱에 대해 범위를 지정하고 Options.MaxAge를 각 *securecookie.SecureCookie 인스턴스에 적용하여 쿠키 만료와 HMAC 타임 스탬프 유효성 검사 간의 불일치를 수정할 수 있도록합니다.

cc / @kisielk 를 사용하여 수정 사항을 푸시하기 전에 결과를 확인합니다.

추신 : 이것과 관계없이 프로그램에서 단일 DB 풀을 여는 것이 좋습니다. 전역을 통하거나 포인터를 명시 적으로 전달하는 것이 좋습니다. 요청별로 풀을 열고 닫으면 성능이 저하됩니다. *sql.DB 은 동시 액세스에 안전합니다.

elithrar 에 2015년 07월 12일

이는 또한 대부분의 스토어 구현에 영향을 미칩니다. 모두 백엔드 스토어에 ID를 저장하기 위해 보안 쿠키를 사용하기 때문입니다.

FWIW : 또한 "먼 미래"쿠키 만료는 특별히 필요한 경우가 아니면 좋지 않다고 생각합니다.

elithrar 에 2015년 07월 12일

👍2

또한 현재 구현에서 현재 타임 스탬프가 완전히 암호화되지 않았 음을 지적하고 싶습니다. 이론적으로는 base64로 쿠키를 디코딩하고 타임 스탬프를 현재 날짜로 변경하고 base64로 쿠키를 인코딩하면 options.MaxAge 문제를 수정하더라도 MaxAge 속성은 전혀 문제가되지 않습니다.

marksalpeter 에 2015년 07월 14일

네, "먼 미래"쿠키는 단지 테스트 용이었습니다. 이제 프로덕션 서버에서 MaxAge를 0으로 설정했습니다. 우리는 주말 동안 문제를 발견하고 비슷한 수정을 작성했지만 귀하의 것보다 약간 덜 간결했습니다.

문제를 조사해 주셔서 감사합니다!

wbaron 에 2015년 07월 14일

@wbaron- 문제 없습니다. 곧 업스트림 패키지에서 수정 될 예정이며
한 번 완료되면 핑을하여 자신의 포크를 유지할 필요가 없습니다.
원하지 않음).

@marksalpeter- 어디를 지적 할 수 있습니까? 보안 쿠키 MAC
문자열 표현을 위해 base64로 인코딩하기 전의 name | date | value. 만약
클라이언트 측에서 디코딩하면 타임 스탬프를 수정할 수 없습니다.
MAC'ed— 실제로 변경할 수있는 것은 없습니다.)
MAC이 실패하기 때문에 쿠키는 디코딩 (요청)에서 유효성 검사에 실패해야합니다.
해시 / 인증 키에 대해 올바르게 디코딩합니다. 참고 :
https://github.com/gorilla/securecookie/blob/master/securecookie.go#L185 -L191

2015 년 7 월 14 일 화요일 오후 10:40 wbaron [email protected] 은 다음과 같이 썼습니다.

네, "먼 미래"쿠키는 테스트 용이었고 MaxAge는
이제 프로덕션 서버에서 0입니다. 주말 동안 문제를 발견했고
약간 덜 간결하게 당신과 비슷한 수정을 썼습니다.
문제를 조사해 주셔서 감사합니다!
—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/gorilla/sessions/issues/48#issuecomment -121257995.

elithrar 에 2015년 07월 14일

@elithrar 내 실수. 쿠키를 디코딩 할 때 [타임 스탬프] | [MAC 정보]를 얻습니다. 최대 정보 이전의 타임 스탬프가 사용중인 것이라고 가정했습니다.

marksalpeter 에 2015년 07월 15일

@elithrar 당신이 제안하는 것은 나에게 좋은 소리입니다. 모든 매장에 개별적으로 적용해야한다는 점이 아쉽습니다.

kisielk 에 2015년 07월 17일

@kisielk- 분명히 부끄러운 일입니다. 제 3자를 만지는 것을 피하고 싶었습니다.
제 3 자 매장을 효과적으로 결합 할 수있는 깨끗한 방법이 없었습니다.
보안 쿠키에서 s.MaxAge 메소드가있는 Options.MaxAge 필드.

보안 쿠키에서 func CodecMaxAge(codecs []Codec, age int) []Codec 함수를 제공하는 것을 고려하고 있습니다 (단점 :
인터페이스 + 공용 API에 추가) 내부적으로 유형을 수행합니다.
assertion + 각 코덱에서 s.MaxAge (age)를 호출합니다. 이것은 중복을 유지합니다 (루프
슬라이스, 쿠키 유형에 어설 션 입력) 타사 저장소의 코드
NewXXXXStore 함수에서 securecookie.CodecMaxAge(mystore.Codecs, mystore.opts.MaxAge) 를 호출하여
기본 s.maxAge 필드.

더 나은 아이디어에 개방적이지만 이것이 가장 간단한 것 같습니다.

2015 년 7 월 17 일 금요일 오전 8시 3 분 Kamil Kisiel [email protected]
썼다:

@elithrar https://github.com/elithrar 당신이 제안하는 것은 좋은 소리입니다
나를. 모든 매장에 개별적으로 적용해야한다는 점이 아쉽습니다.
—
이 이메일에 직접 답장하거나 GitHub에서 확인하세요.
https://github.com/gorilla/sessions/issues/48#issuecomment -122133977.

elithrar 에 2015년 07월 17일

네 괜찮은 것 같아요. 여기에 거스름돈을 넣으면 사용하기 위해 다른 상점에 PR을 보낼 것입니다.

kisielk 에 2015년 07월 18일

추적 목적 :

[x] [고릴라 / 세션] (https://github.com/gorilla/sessions)
[] [github.com/starJammer/gorilla-sessions-arangodb](https://github.com/starJammer/gorilla-sessions-arangodb)-ArangoDB
[] [github.com/yosssi/boltstore](https://github.com/yosssi/boltstore)-볼트
[] [github.com/srinathgs/couchbasestore](https://github.com/srinathgs/couchbasestore)-Couchbase
[] [github.com/denizeren/dynamostore](https://github.com/denizeren/dynamostore)-AWS의 Dynamodb
[] [github.com/bradleypeabody/gorilla-sessions-memcache](https://github.com/bradleypeabody/gorilla-sessions-memcache)-Memcache
[] [github.com/hnakamur/gaesessions](https://github.com/hnakamur/gaesessions)-GAE의 Memcache
[x] [github.com/kidstuff/mongostore](https://github.com/kidstuff/mongostore)-MongoDB
[] [github.com/srinathgs/mysqlstore](https://github.com/srinathgs/mysqlstore)-MySQL
[x] [github.com/antonlindstrom/pgstore](https://github.com/antonlindstrom/pgstore)-PostgreSQL
[] [github.com/boj/redistore](https://github.com/boj/redistore)-Redis
[x] [github.com/boj/rethinkstore](https://github.com/boj/rethinkstore)-RethinkDB
[] [github.com/boj/riakstore](https://github.com/boj/riakstore)-Riak
[] [github.com/michaeljs1990/sqlitestore](https://github.com/michaeljs1990/sqlitestore)-SQLite

PR이 병합되면이를 추적하겠습니다.

elithrar 에 2015년 08월 11일

👍1

이 문제는 최근 업데이트를 보지 못했기 때문에 자동으로 오래된 것으로 표시되었습니다. 며칠 후 자동으로 닫힙니다.

stale[bot] 에 2018년 12월 09일

다른 패키지에서 실행 한 후이 문제를 살펴보면 닫아야 할 것 같지 않습니다 ... 체크리스트 는 해당 정보가 최신이 아닌 경우를 제외하고는 여전히 10 번의 확인이 필요합니다.

eslindsey 에 2019년 05월 12일

정확해야하지만 모든 상점이 적극적으로 유지 관리되거나 PR이 제출 된 것은 아닙니다.

elithrar 에 2019년 05월 12일

이 문제는 최근 업데이트를 보지 못했기 때문에 자동으로 오래된 것으로 표시되었습니다. 며칠 후 자동으로 닫힙니다.

stale[bot] 에 2019년 07월 11일

이 문제는 최근 업데이트를 보지 못했기 때문에 자동으로 오래된 것으로 표시되었습니다. 며칠 후 자동으로 닫힙니다.

stale[bot] 에 2019년 09월 09일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Sessions: 코덱에 옵션을 올바르게 적용하지 않는 타사 저장소.

가장 유용한 댓글

모든 17 댓글

관련 문제