Zoraxy反向代理中Cookie会话丢失问题分析与解决方案

问题背景

近期在Zoraxy反向代理项目中出现了一个与Cookie会话处理相关的兼容性问题。该问题主要影响Trilium Notes应用的同步功能，表现为当Zoraxy升级到3.1.8版本后，Trilium客户端无法正常同步数据，返回"401 Logged in session not found"错误，而回退到3.1.7版本则能正常工作。

技术分析

问题根源

通过git bisect定位，问题源于Zoraxy 3.1.8版本中一个关于粘性会话(sticky session)的修复提交。该修改原本是为了解决负载均衡中的会话保持问题，但在处理Cookie时意外影响了Trilium应用的会话Cookie传递。

具体来说，Zoraxy在处理反向代理请求时，会清理前端创建的某些Cookie（如STICKYSESSION）。这一行为在3.1.8版本中变得更加严格，导致Trilium应用使用的express-session生成的会话Cookie（trilium.sid）也被意外清除，从而造成客户端认证失败。

影响范围

• 仅影响通过Zoraxy反向代理的Trilium应用同步功能
• Web前端访问不受影响
• 仅出现在Zoraxy 3.1.8及以上版本
• 使用express-session或其他依赖Cookie会话的应用程序可能遇到类似问题

解决方案

临时解决方案

对于急需解决问题的用户，可以采取以下临时方案：

1. 回退到Zoraxy 3.1.7版本
2. 手动注释掉originPicker.go文件中清理Cookie的相关代码

永久解决方案

Zoraxy开发团队在3.1.9版本中重新实现了会话清理机制：

1. 完全重构了清除会话的实现方式
2. 采用回退实现方案，避免影响正常应用Cookie
3. 确保只清理Zoraxy自身创建的会话Cookie，不影响应用会话

验证与测试

用户可以通过以下步骤验证问题是否解决：

1. 构建或获取Zoraxy 3.1.9版本
2. 配置Trilium应用通过新版Zoraxy反向代理
3. 在Trilium客户端执行同步操作
4. 检查日志确认无"401 Logged in session not found"错误

技术建议

对于类似反向代理场景下的会话处理，建议开发者：

1. 明确区分系统Cookie和应用Cookie的处理策略
2. 对Cookie操作保持最小干预原则
3. 在修改会话处理逻辑时进行充分的兼容性测试
4. 考虑提供配置选项让用户自定义Cookie处理行为

总结

Zoraxy 3.1.8版本引入的会话处理优化虽然解决了粘性会话问题，但意外影响了某些应用的正常Cookie传递。通过3.1.9版本的改进，这一问题已得到妥善解决，既保留了负载均衡功能，又确保了应用会话的完整性。这体现了在基础设施软件开发中平衡功能增强与向后兼容的重要性。