Flagsmith项目部署中Cookie认证失效问题解析

在自托管Flagsmith项目时，部分用户反馈登录后刷新页面会被强制跳转回登录界面。经过分析，这是典型的会话保持失效问题，根本原因在于Cookie的安全策略配置不当。

问题现象

当用户完成登录操作后，系统本应通过Cookie保持会话状态。但在实际部署中，前端无法正确获取认证令牌，表现为：

1. 登录成功后页面可正常操作
2. 浏览器刷新后立即跳转至登录页
3. 检查开发者工具发现缺少auth_token的Cookie项

根本原因

该问题主要与HTTP协议下的Cookie安全策略有关。Flagsmith默认启用了安全Cookie策略（Secure Cookies），这种策略要求：

• 必须通过HTTPS协议传输
• 必须设置SameSite属性为安全模式

在本地开发环境（localhost）中，浏览器对安全策略的限制较为宽松，因此不会出现此问题。但在生产环境部署时，如果使用HTTP协议访问，就会触发安全限制导致Cookie无法正常存储。

解决方案

对于使用HTTP协议访问的生产环境，需要在docker-compose配置中添加以下环境变量：

environment:
  COOKIE_SAME_SITE: Lax  # 放宽SameSite策略
  USE_SECURE_COOKIES: 'false'  # 禁用安全Cookie要求

这两个关键参数的作用是：

1. USE_SECURE_COOKIES=false：允许通过非HTTPS连接传输认证Cookie
2. COOKIE_SAME_SITE=Lax：在保持基本安全性的同时允许跨站请求携带Cookie

最佳实践建议

1. 生产环境强烈建议配置HTTPS访问，这是最安全的解决方案
2. 如果必须使用HTTP，应当限制在内网环境中使用
3. 定期检查Cookie的有效期设置，确保不会因过期导致会话中断
4. 在负载均衡场景下，需要确保所有节点使用相同的密钥签名Cookie

通过合理配置这些参数，可以确保Flagsmith在各种部署环境下都能保持稳定的会话状态，为用户提供流畅的管理体验。