谷歌瀏覽器單點登入失敗

1.1 版本

1.2 問題描述

谷歌瀏覽器 80.0 及以上版本、火狐瀏覽器 96.0 及以上版本、360極速瀏覽器，單點登入失敗，跳轉到登入頁，其他瀏覽器正常。

1.3 原因分析

由於 cookie 問題導致單點失敗。

谷歌瀏覽器 80.0 及以上版本、火狐瀏覽器 96.0 及以上版本均修改了安全策略，預設 SameSite 策略不允許 cookie 跨站傳送，因此單點登入會失敗。

360極速瀏覽器使用了谷歌瀏覽器核心，也有可能出現這個情況。

2.1 https解決方案

2.1.1 非維運平台部署的帆軟應用

對於非維運平台部署的帆軟應用，且工程版本為11.0.4及之後，

若已升級工程為 https，可直接使用產品內建HTTPS_SameSite_跨域策略，無需任何操作。

https 設定跨域單點登入後，可直接實現跨站單點登入。

2.1.2 維運平台部署的帆軟應用

此方案僅適用於維運平台部署、且配置了https的帆軟應用。

1）下載並解壓，獲取配置檔案CORS.conf：CORS.zip

2）將CORS.conf上傳到帆軟應用的/nginx外掛目錄/conf/custom目錄中。

• 如不存在該目錄，請手動建立，並賦予足夠的讀寫權限

• 如不清楚外掛目錄位置，可透過匯出部署資訊找回，詳情請參見：匯出專案部署資訊

3）登入維運平台，選擇指定專案，點選「維護>組件管理」，重啟nginx組件。

4）重啟解析配置時，會自動載入配置檔案CORS.conf，將內容合併到nginx.conf檔案的location /  ${APP_PATH}塊內，即可實現跨站單點登入。

2.2 http解決方案

注：本節方案配置比較複雜，推薦將工程升級為 https 後，再參考本文2.1節優化。

解決方案一：統一主域名

參考下方跨站說明，保證兩個工程的頂層領域名稱、次頂層領域名稱相同，比如 a.b.com 和 c.b.com，「.com」頂級，「b」是次頂級。
舉例：bbs.fanruan.com、help.fanruan.com，頂層領域名稱均為 .com，次級域名均為 fanruan，這樣的兩個工程則不會出現此問題。

跨站說明：

跨站是用 Public Suffix List 域名後綴列表 來判斷的。

兩個 URL ，頂層領域名稱和次頂層領域名稱內容（後面用 public suffix+1 指代）相同，為同站：

• 頂層領域名稱：從 Public Suffix List 域名後綴列表中匹配的最長後綴長度。

• 次頂層領域名稱：頂層領域名稱前面的欄位。
  

注：頂層領域名稱列表可參見：頂層領域名稱列表

比如 www.sina.com.cn 的 public suffix+1 是 sina.com.cn，www.sohu.com.cn 的 public suffix+1 是 sohu.com.cn， 兩者不一樣，所以不屬於同一個地點。

再比如 nanzhuang.taobao.com 的 public suffix+1 是 taobao.com，nvzhuang.taobao.com 的 public suffix+1 也是 taobao.com，那麼它倆就是同一個地點的。

解決方案二：配置代理

可透過代理，將帆軟和第三方系統配置到同一域名下，第三方系統裏面配置的報表連結需要改成走代理的連結。即可繞過samesite。

2.3 臨時解決方案

該臨時方案是透過修改谷歌的設定解決的，每台存取工程的電腦都需要修改谷歌的設定，使用體驗差，不太推薦；推薦使用2.1節方案。

該臨時方案適用於所有谷歌核心瀏覽器，如新 edge（存取edge://flags/）、360 安全瀏覽器（存取se://flags/）等，但不適用於 91 及以上版本的谷歌核心瀏覽器。

在谷歌瀏覽器地址欄中輸入：chrome://flags/，然後在搜尋框輸入「SameSite」搜尋並找到「SameSite by default cookies」選項，右側按鈕選擇「Disabled」。

設定完成後，需要重啟谷歌瀏覽器，方可生效。如下圖所示：