feat(auth): 登录成功同步 satoken 到 .involutionhell.com cookie

longsizhuo · longsizhuo · commit 1a485d68e1b9 · 2026-04-17T21:48:37.000Z
配合后端 /api/admin/pgadmin-check 和 Caddy forward_auth 的整条链：用户直连 api.involutionhell.com/admin/pgadmin/* 时浏览器不会主动发 satoken header， 必须靠 cookie 自动携带。 - 新加 syncTokenCookie(token)：登录 / 刷新有效 session / 登出全部打点 localhost 域不写 Domain（浏览器默认绑当前 host）； 生产写 Domain=.involutionhell.com 让主域 + 所有子域共享 SameSite=Lax 刚好够——顶层导航 / 子资源 GET 都会带；跨站 POST 不带但我们 也不需要（pgAdmin 的 CSRF 有自己的 cookie） Max-Age=2592000 与 sa-token.timeout 保持一致 - token 无效 / 登出时清掉 cookie，避免 stale 身份残留 服务端配套：InvolutionHell/involutionhell-backend#12
diff --git a/lib/use-auth.tsx b/lib/use-auth.tsx
@@ -36,6 +36,37 @@ function getStoredToken(): string | null {
   return localStorage.getItem("satoken");
 }
 
+/**
+ * 把 satoken 同步写一份到 `.involutionhell.com` 域名的 cookie。
+ *
+ * 为什么需要：直接访问 api.involutionhell.com/admin/pgadmin/*（新标签页打开 pgAdmin）
+ * 时浏览器不会主动发 `satoken` header——业务 API 是走 Next.js rewrite 同源的，所以
+ * 前端能手动附 header；但新标签直连 api 子域就只能靠 cookie 自动带。
+ *
+ * Caddy 在 api 子域前放了 forward_auth 钩子调后端 /api/admin/pgadmin-check，
+ * sa-token 默认从 cookie 读 token（sa-token.is-read-cookie=true 默认开），
+ * 只要 cookie 存在且对应 satoken 在后端会话库里且拥有 admin 角色就放行。
+ *
+ * 本地开发（localhost）的 Domain 属性要留空，浏览器会默认绑当前 host；
+ * 生产（involutionhell.com + api.involutionhell.com）要显式写 `.involutionhell.com`
+ * 否则两个子域 cookie 各存各的。
+ */
+function syncTokenCookie(token: string | null) {
+  if (typeof document === "undefined") return;
+  const isLocalhost =
+    window.location.hostname === "localhost" ||
+    window.location.hostname === "127.0.0.1";
+  const domainAttr = isLocalhost ? "" : "; Domain=.involutionhell.com";
+  const secureAttr = window.location.protocol === "https:" ? "; Secure" : "";
+  if (token) {
+    // 30 天 TTL 和 sa-token 服务端配置保持一致（application.properties 里 2592000）
+    document.cookie = `satoken=${encodeURIComponent(token)}; Path=/${domainAttr}; Max-Age=2592000; SameSite=Lax${secureAttr}`;
+  } else {
+    // 清除：设空值并 Max-Age=0；Domain / Path 必须与写入时一致浏览器才认这是"同一条"
+    document.cookie = `satoken=; Path=/${domainAttr}; Max-Age=0; SameSite=Lax${secureAttr}`;
+  }
+}
+
 // 调用后端 /auth/me 验证 token 并获取用户信息
 // 走 Next.js rewrite（/auth/* → 后端），浏览器无跨域问题
 async function fetchCurrentUser(token: string): Promise<UserView | null> {
@@ -63,8 +94,9 @@ export function AuthProvider({ children }: { children: React.ReactNode }) {
     const urlToken = hashParams.get("token");
 
     if (urlToken) {
-      // 存入 localStorage
+      // 存入 localStorage + 同步写 cookie（供 api 子域直连场景使用，比如 pgAdmin）
       localStorage.setItem("satoken", urlToken);
+      syncTokenCookie(urlToken);
       // 用 replaceState 清除 URL 中的 fragment，避免刷新或分享时 token 泄露
       hashParams.delete("token");
       const newHash = hashParams.toString();
@@ -87,9 +119,12 @@ export function AuthProvider({ children }: { children: React.ReactNode }) {
       if (u) {
         setUser(u);
         setStatus("authenticated");
+        // 已登录用户每次刷新也重写 cookie，覆盖掉可能过期 / 丢失的副本
+        syncTokenCookie(token);
       } else {
-        // token 无效或已过期，清除
+        // token 无效或已过期，localStorage + cookie 都清
         localStorage.removeItem("satoken");
+        syncTokenCookie(null);
         setStatus("unauthenticated");
       }
     });
@@ -110,6 +145,7 @@ export function AuthProvider({ children }: { children: React.ReactNode }) {
       }
       localStorage.removeItem("satoken");
     }
+    syncTokenCookie(null);
     setUser(null);
     setStatus("unauthenticated");
   };
