同域名下不同端口的 web 服务 session 冲突导致用户登录互顶的问题

好久没更新文章了，就先从整了个开发中遇到的小问题再开始吧！

日常开发中经常会在同域名或 IP 下在不同端口部署不同的 web 应用服务，但如果恰好每个服务都有用户登录功能，且采用 session 的安全认证方式，就会出现两个应用登录信息互顶的问题，具体表现为：已经登录了 A 应用，结果再去登录 B 应用，回头去 A 应用的页面发现登录信息失效了，本文就看一下这个问题。

说明

web 项目使用基于 python 的 web 框架 flask 实现。

探索

复现问题

我以自己的项目为例：

• 应用 A：localhost:20702
• 应用 B：localhost:20709

首先打开项目 A 的网页并登录，然后打开浏览器的网页检查器看一下，cookie 信息中 session id 叫 session:

session:"eyJ1c2VybmFtZSI6InRpYW55ZTEifQ.X5OddA.Tt8ayJhPp8KHcBdzRzU72I6U-SI"

同样，再打开项目 B 的网页并登录，然后同样打开浏览器网页检查器看一下 cookie 信息，也有一个 session id 为 session 的信息：

session:"eyJ1c2VybmFtZSI6InRpYW55ZSJ9.X5OaxQ.IltnUYo4-bO9JcrNxBJYPc1hxWs"

回过头去看项目 A 的网页发现，原来的 cookie 信息变了，还是有 session 的信息，但是值变了：

session:"eyJ1c2VybmFtZSI6InRpYW55ZSJ9.X5OexQ.OC7TtbfCLfuUtwsS0D9nbK6mh5w"

导致项目 A 的页面登录失效了。

排查原因

上面在检查器中可以明确看到 session 信息，cookie 中仅仅出现的是域名 localhost 下的一个 session 信息，id 为 session，怎么回事？两个项目共用了一个 session 信息。

经过了解知道：

对于浏览器来说，cookie 不区分端口，因此对于同一个域名，它的所有端口都是共享 cookie

解决

所以解决方法很简单，修改后端默认的 session id 名称为各自项目的，只要不相同就可以了。可以在 Flask 应用的配置中修改配置项 SESSION_COOKIE_NAME，其默认为 session，因为两个项目的均没有配置这个，都使用 session 作为了 session id，造成了冲突，我们添加这个配置项改为相关的应用名称即可，比如我的 Flask 项目中可以通过以下多种方式修改此配置：

# app 为 Flask 实例
app.config["SESSION_COOKIE_NAME"] = "session-demo1"

或者

# 单独定义配置对象
class ProductionConfig():
    SESSION_COOKIE_NAME = "session-demo1"

# 从对象读入配置内容，app 为 Flask 实例
app.config.from_object(ProductionConfig)

两个项目各自修改 SESSION_COOKIE_NAME 为不同值之后，即可解决 session 冲突问题了！Nice！

如果使用其它语言或 web 框架，一定可以找到这个 session cookie name 的配置项！

希望能帮到您！