AWS Amplify中Next.js应用会话令牌重复问题分析与解决方案

问题背景

在使用AWS Amplify与Next.js构建的应用中，开发人员发现了一个关于会话令牌管理的严重问题。当用户会话过期后，系统在尝试刷新令牌时会出现异常行为——浏览器中会存储多个重复的会话令牌和Cookie，这可能导致用户无法正常登出或出现其他认证问题。

问题现象

具体表现为：

1. 用户登录系统后保持会话
2. 当会话令牌过期时（通常在1小时或配置的时间后）
3. 系统尝试自动刷新令牌
4. 此时浏览器会存储多个相同的令牌Cookie，而非替换旧的令牌

技术分析

这个问题主要出现在以下技术组合中：

• AWS Amplify v6
• Next.js 13+（使用SSR服务端渲染）
• Tanstack Query（用于数据获取）

根本原因在于Amplify的服务器端认证逻辑在处理过期令牌时，未能正确清理旧的Cookie，而是不断添加新的Cookie。这违反了HTTP会话管理的最佳实践，即同一类型的认证令牌应该只有一个。

影响范围

该问题会导致：

1. 用户会话管理混乱
2. 潜在的认证失败
3. 登出功能可能失效
4. 浏览器存储空间被不必要的Cookie占用

解决方案

AWS Amplify团队已在以下版本中修复了此问题：

• aws-amplify@6.4.2
• @aws-amplify/adapter-nextjs@1.2.9

升级到这些版本后，系统会在令牌刷新时正确清理过期Cookie。

高级场景处理

对于更复杂的场景（如动态路由路径下的Cookie问题），可以采用以下解决方案：

// 在getServerSideProps中手动清理无效Cookie
export const getServerSideProps = async ({ req, res }) => {
  // 检查请求URL是否在特定路径下
  const isUnderAPath = req.url.startsWith('/sub-path');
  
  if (isUnderAPath) {
    // 收集所有Amplify相关的Cookie名称
    const clearCookieNames = Object.keys(req.cookies)
      .filter(cookieName => cookieName.startsWith('CognitoIdentityServiceProvider.'));
    
    // 设置过期头清除这些Cookie
    for (let cookieName of clearCookieNames) {
      res.setHeader('Set-Cookie', `${cookieName}=; Expires=Thu, 01 Jan 1970 00:00:00 GMT; Path=/`);
    }
  }
  
  return { props: {} };
};

最佳实践建议

1. 令牌有效期设置：合理配置Cognito用户池中的令牌有效期

   • 访问令牌：通常1小时
   • ID令牌：通常1小时
   • 刷新令牌：根据安全需求设置（通常几天到几个月）

2. 错误处理：完善令牌刷新失败的处理逻辑，确保用户被引导到合适的流程

3. 多标签页处理：考虑应用在多标签页情况下的会话同步问题

4. 监控与日志：记录令牌刷新事件，便于问题排查

总结

AWS Amplify与Next.js的集成提供了强大的认证能力，但在处理会话令牌时需要特别注意。通过升级到修复版本并实施适当的错误处理策略，可以确保应用的身份认证流程稳定可靠。对于特殊路由结构，可能需要额外的Cookie管理逻辑来保证系统行为一致。