Flask set_cookie 不生效：深入解析与正确实践

Flask中Cookie设置的常见误区与解析

在开发web应用时，后端服务经常需要通过设置cookie来管理用户会话或存储其他客户端信息。flask提供了response对象上的set_cookie方法来实现这一功能。然而，一个常见的误区是，在修改了响应对象（例如，添加了cookie）之后，却返回了另一个未包含这些修改的响应。

考虑一个典型的场景：前端使用Axios等库发送带凭证（withCredentials: true）的请求，后端Flask应用需要验证用户身份并设置一个包含认证令牌的Cookie。

# main.py
from flask import Flask, make_response, jsonify
from flask_cors import CORS, cross_origin
import jwt # 假设已经安装并配置了jwt
import os # 用于SECRET_KEY

app = Flask(__name__)
# 确保CORS配置支持凭证，以便前端能接收到Cookie
CORS(app, supports_credentials=True)

# 假设 SECRET_KEY 和 db 配置已存在
SECRET_KEY = os.environ.get('SECRET_KEY', 'your_super_secret_key')
# 模拟一个简单的数据库查询
class MockDB:
    def __init__(self):
        self.users = [{"email": "test@example.com", "_id": "12345"}]
    def find(self, query):
        # 简单模拟查询，实际应从MongoDB等数据库获取
        return [u for u in self.users if u["email"] == query["email"]]
db = {'users': MockDB()}

@app.route('/')
def principal():
    return 'Welcome to the CharTwo API.'

@app.route('/api/account/login', methods=['POST'])
@cross_origin(supports_credentials=True)
def login_account_route():
    # 实际应用中应从request.json获取email和password
    # 这里为了演示，假设直接调用loginAccount
    email = "test@example.com" # 模拟从请求中获取
    return loginAccount(email) # 将email作为参数传入

def loginAccount(email):
    # 模拟用户ID获取
    user_data = list(db['users'].find({"email": email}))
    if not user_data:
        # 处理用户不存在的情况
        return jsonify({"error": "User not found"}), 404

    userId = str(user_data[0]['_id'])

    # 生成JWT令牌
    # 注意：这里为了简化，直接使用email，实际应使用更安全的载荷
    tokenId = jwt.encode({'userId': userId}, SECRET_KEY, algorithm='HS256')

    # 准备响应消息
    mensagem = {'message': f'Welcome to the CharTwo {email}!', 'tokenId': tokenId}

    # 创建一个Flask响应对象
    response = make_response(jsonify(mensagem))

    # 在响应对象上设置Cookie
    # 注意：这里设置的Cookie名称为'accessToken'
    response.set_cookie('accessToken', tokenId, httponly=True, secure=True, samesite='Lax')

    # 返回这个包含了Cookie的响应对象
    return jsonify(mensagem) # 错误的返回方式

if __name__ == '__main__':
    app.run(debug=True)

在上述loginAccount函数中，我们首先使用make_response(jsonify(mensagem))创建了一个响应对象并将其赋值给response变量。接着，我们调用了response.set_cookie('accessToken', tokenId)来为这个响应对象添加一个Cookie。然而，最终函数返回的却是jsonify(mensagem)，这会创建一个全新的响应对象，而这个新对象并未包含之前设置的Cookie信息。因此，前端在接收到响应时，并不会找到预期的accessToken Cookie。

正确的Cookie设置方法

要确保Flask成功设置Cookie，关键在于返回那个已经被修改（添加了Cookie）的Response对象。

以下是loginAccount函数的正确实现：

PaperFake

AI写论文

下载

# user.py (或直接在main.py中)

# 假设 SECRET_KEY 和 db 配置已存在
# from flask import make_response, jsonify
# import jwt
# import os
# SECRET_KEY = os.environ.get('SECRET_KEY', 'your_super_secret_key')
# class MockDB:
#     def __init__(self):
#         self.users = [{"email": "test@example.com", "_id": "12345"}]
#     def find(self, query):
#         return [u for u in self.users if u["email"] == query["email"]]
# db = {'users': MockDB()}

def loginAccount(email):
    user_data = list(db['users'].find({"email": email}))
    if not user_data:
        return jsonify({"error": "User not found"}), 404

    userId = str(user_data[0]['_id'])
    tokenId = jwt.encode({'userId': userId}, SECRET_KEY, algorithm='HS256')

    mensagem = {'message': f'Welcome to the CharTwo {email}!', 'tokenId': tokenId}

    # 关键步骤：创建响应对象并将其存储在变量中
    response = make_response(jsonify(mensagem))

    # 在这个响应对象上设置Cookie
    # 建议添加httponly, secure, samesite等属性以增强安全性
    response.set_cookie(
        'accessToken',
        tokenId,
        max_age=3600,  # Cookie有效期，例如1小时
        httponly=True, # 阻止客户端脚本访问Cookie
        secure=True,   # 仅在HTTPS连接下发送Cookie
        samesite='Lax' # 跨站请求策略
    )

    # 返回这个已经设置了Cookie的响应对象
    return response # 正确的返回方式

通过将return response替换return jsonify(mensagem)，我们确保了Flask发送给客户端的HTTP响应头中包含了Set-Cookie指令。前端Axios配置了withCredentials: true后，浏览器会正确地接收并存储这个Cookie。

关键注意事项与最佳实践

1. make_response的重要性：当你需要对Flask的响应进行自定义操作（如设置Cookie、修改HTTP头、更改状态码等）时，始终使用make_response()来创建一个可操作的Response对象。
2. jsonify与make_response的区别：
   • jsonify是一个便捷函数，它会自动将Python字典或列表序列化为JSON格式，并创建一个Response对象，其Content-Type头被设置为application/json。它通常用于简单的JSON响应。
   • make_response则允许你从一个视图函数的返回值（字符串、元组、Response对象）创建一个Response对象，然后你可以对这个对象进行进一步的修改。
3. Cookie安全属性：
   • httponly=True：强烈建议设置。这可以防止客户端JavaScript通过document.cookie访问Cookie，从而降低跨站脚本攻击（XSS）的风险。
   • secure=True：如果你的应用运行在HTTPS上，务必设置此项。它确保Cookie只通过加密连接发送。
   • samesite='Lax' 或 samesite='Strict'：用于防止跨站请求伪造（CSRF）攻击。Lax模式允许一些安全的跨站请求（如链接导航）发送Cookie，而Strict模式则更严格。根据你的应用需求选择。
   • max_age或expires：设置Cookie的有效期。不设置则默认为会话Cookie，浏览器关闭后即失效。
4. CORS配置：
   • 前端Axios请求必须设置withCredentials: true。
   • 后端Flask-CORS的CORS初始化时必须设置supports_credentials=True。
   • 对于特定路由，@cross_origin装饰器也应设置supports_credentials=True。这些配置共同确保浏览器允许跨域请求携带和接收Cookie。
5. JWT令牌的存储：将JWT令牌存储在HttpOnly的Cookie中是一种常见的安全做法，因为它能有效防止XSS攻击获取令牌。

总结

在Flask应用中设置Cookie时，理解make_response和jsonify的工作原理至关重要。核心原则是，任何对响应对象的修改（包括set_cookie）都必须在最终返回的Response对象上进行。通过遵循正确的实践，并结合适当的Cookie安全属性和CORS配置，你可以确保Flask应用能够安全、可靠地管理用户会话和认证信息。