Как настроить web api для передачи куков с React клиента?

Question

[Nik Faraday]

Изучаю сессии на asp.net core web api, пытаюсь сделать авторизацию с React клиента. Сессию тестировал через Postman, после авторизации сохраняется кука сессии и передаётся при запросе, после чего данные доступны внутри HttpContext.Session

Теперь пытаюсь сделать такое же через React. В общем, вот настройка CORS:

services.AddCors(options =>
{
    options.AddDefaultPolicy(policy => policy
        .WithOrigins("http://localhost:3000", "https://localhost:3000")
        .AllowAnyHeader()
        .AllowAnyMethod()
        .AllowCredentials());
});

Настройка сессии:

services.AddDistributedSqlServerCache(config =>
{
    config.ConnectionString = connectionString;
    config.SchemaName = "dbo";
    config.TableName = "Sessions";
});

services.AddSession(options =>
{
    options.IdleTimeout = TimeSpan.FromMinutes(15);
    options.IOTimeout = TimeSpan.FromHours(6);
    options.Cookie.HttpOnly = true;
    options.Cookie.IsEssential = true;
    options.Cookie.SameSite = SameSiteMode.None;
    options.Cookie.SecurePolicy = CookieSecurePolicy.Always;
});

Вот запрос клиента:

let data = {
            login: login,
            password: password
        }
        let jsonData : string = JSON.stringify(data)

        let response = await fetch('https://localhost:7262/api/authentication/sign-in', {
            method: 'post',
            body: jsonData,
            headers: {
                'Content-Type': 'application/json'
            },
            credentials: 'include',
            mode: 'cors'
        })

Проверка авторизации при запросе делается при помощи аттрибута проверка авторизации:

internal sealed class SessionAuthorizeAttribute : Attribute, IAsyncAuthorizationFilter
{
    private const string SESSION_KEY_NAME = "Id";

    public Task OnAuthorizationAsync(AuthorizationFilterContext context)
    {
        ISessionManager manager = context.HttpContext.RequestServices.GetRequiredService<ISessionManager>();

        Result<string> authResult = manager.Get(SESSION_KEY_NAME);
        if (authResult.ErrorMessages.Any())
        {
            context.Result = new UnauthorizedResult();
            return Task.CompletedTask;
        }

        context.HttpContext.User = new ClaimsPrincipal(new ClaimsIdentity(
            [new Claim(SESSION_KEY_NAME, authResult.Value)]
        ));

        return Task.CompletedTask;
    }
}

Реализация метода получения указанного значения из сессии:

public class SessionManager : ISessionManager
{
    private readonly HttpContext _httpContext;
    private readonly ICacheManager _cacheManager;

    public SessionManager(IHttpContextAccessor contextAccessor,
        ICacheManager cacheManager)
    {
        _httpContext = contextAccessor.HttpContext;
        _cacheManager = cacheManager;
    }

   public Result<string> Get(string key)
   {
       if (!_httpContext.Session.TryGetValue(key, out byte[] byteValue))
       {
           return Result<string>.Error(AuthorizedError);
       }
       return Result<string>.Success(Encoding.UTF8.GetString(byteValue));
   }
}

Сам SessionManager зарегистрирован как AddScoped.

Сам процесс авторизации происходит успешно и устанавливается куку сессии, но при запросе на защищённый SessionAuthorizeAttribute аттрибутом не могу получать куку этой сессии. К сведению, сервер работает на https, а клиента на http. В чём может быть проблема?

Comments

[MVV]

Баюшки пора, поэтому подробно посмотрю и наводящие вопросы задам завтра. Мне вот на первый взгляд непонятно, какую куку вы получить хотите - которую механизм сессий устанавливает, или какую-то другую?

А пока что - простой вопрос: а что это вы так сложно, я бы сказал - трансректально (надеюсь, не обидел, если что - извиняйте) извлекаете Id сессии? Ведь в HttpContext есть свойство Session содержащее ссылку на объект сессии. Просто читайте context.HttpContext.Session.Id (вопросительные знаки добавить по вкусу) - и вот он, ISession.Id перед вами.
PS Технически реализация HttpContext извлекает ссылку на ISession из коллекции функций (Features), куда ее помещает соответсвующий обработчик в конвейере (middleware). Так что все эти манипуляции с сервисом - они совершенно не требуются. К сожалению, механизм функций (Features) HttpContext в его общем виде описан в документации плохо (а в учебниках - обычно, никак), а жаль: очень полезная вещь для тех, кто делает компоненты для конвейера.

[Nik Faraday]

MVV, Я не очень разобрался в сессиях, по этому я юзаю их что-то на подобии с куками, как словарь ключ-значение. Я в сессию закидываю Id не сессию, а юзера (Я уже уточнял, что не очень разобрался как с ними работать). Это значение должно храниться в HttpContext.Session, и я это проверял через Postman, но теперь его там просто нет. Я думаю, что проблема может быть с настройкой доступа к React проекту, но пока не уверен в чём именно проблема, т.к. через ГПТ перепробовал различные варианты и пришёл сюда

[MVV]

Nik Faraday, а чо бы вам не разобраться-то?
Сессия - это просто: это - словарь пар "ключ(строка)-значение(массив байтов)", хранящийся в распределеннном кэше. Доступ к сесссии из кода обработчика на сервере - через свойство HttpContext.Session, это работает, как именно - можете даже не заморачиваться.
Значения обычно устанавливаются и излекаются методами расширения для ISession, которые сериализуют/десереализуют значения в соответствии с их типом. Какая именно сессия используется - определяется значением куки с определенным именем (задается в настройках): в этом значении содержится зашифрованный Id сессии. Тут, похоже, я попутал - вы хотите работать не с Id сессии, а со значением под ключом "Id". Так?
Однако, при настройках по умолчанию (и при ваших - тоже) никакой код JS (и React, в частности) к этой куки доступ не имеет: она - HttpOnly. И, в любом случае, к значениям, хранщимся в сессии, код JS доступ иметь не может в принципе: они на клиент не передаются. На клиенте (причем, обычно - в виде, недоступном для JS) есть только идентификатор сессии, чтобы можно было найти ее (и ее данные) в обработчике на сервере. Разве что, вы на клиенте через API (т.е. специальный обработчик) доступ к этим данным сделаете.

PS Дальше обсуждать не хочу, потому что не понимаю, что вообще вы пытаетесь там сделать. Вижу только, что вы хотите странного.

[Nik Faraday]

MVV, да, верно, я хочу получить значение с ключом Id. Суть в том, что просто при запросе сессия пуста и я не понимаю почему

[MVV]

Nik Faraday, прежде всего, посмотрите в новом обработчике тот самый ISession.Id (context.Session.Id) и сравните со значением из старого запроса. Если не совпадают, то у вас что-то с кукой сессии. Жмите F12 в браузере и смотрите - получает ли он куку, отсылает ли.
Во-вторых, где вы в сессию значениt записываете? Если в обработчике предыдущего запроса - то вызвали ли вы там ISession.CommitAsync и выполнился ли он нормально?

[Nik Faraday]

MVV, сама кука сессии есть в браузере, но объект HttpSession не имеет вообще объектов

[MVV]

Ничего не понял: что за HttpSession и причем оно тут? В C# вы работаете с сессией с интерфейсом ISession - вот и пишите про него.

Ответьте на вопросы, которые я задал раньше. Значение c ключом Id в сессии - оно откуда у вас должно взяться? Вы посмотрели, там, где вы его устанавливаете, что свойство Id интерфейса ISession совпадает там и в вашем фильтре авторизации? Если совпадает, то на куку сессии в браузере вообще можете не смотреть: там все работает.

PS Про вызов метода CommitAsync: можете не заморачиваться. Я посмотрел исходник: обработчик в конвейере middleware, который устанавливает сессию, вызывает его сам.