5 טריקים עם Cookies לניפוי שגיאות של בעיות אימות (Auth)

ניפוי שגיאות של אימות (authentication) באפליקציות ווב הוא תהליך איטי. לעיתים קרובות אתם מבזבזים זמן על יצירת חשבונות חדשים או מחיקת כל העוגיות כדי לבדוק סוגי משתמשים שונים.

אתם יכולים לבדוק כל מצב מבלי לגעת במסד הנתונים שלכם. השתמשו בחמש הטכניקות הללו כדי לתמרן עוגיות באופן ישיר.

  1. התמקדו בעוגיות ספציפיות במקום למחוק הכל

מחיקת כל העוגיות הורסת את סשן (session) שרת הפיתוח שלכם, את ה-local storage ואת מצבי הבדיקה של Stripe. במקום זאת, מחקו רק את עוגיית האימות (auth cookie).

שמות נפוצים כוללים:

  • session
  • sid
  • auth_token
  • _session_id

ב-DevTools, עברו אל Application > Cookies > [your domain]. לחצו קליק ימני על עוגיית הסשן ובחרו Delete. פעולה זו מאפסת את מצב המשתמש למצב "מחוץ למערכת" (logged-out) תוך שמירה על שאר ההגדרות שלכם ללא שינוי.

  1. דמו משתמשים חדשים על ידי מחיקת דגלי onboarding

אפליקציות משתמשות בעוגיות כדי לעקוב אם משתמש סיים את תהליך ההגדרה (setup). חפשו שמות כמו onboarding_complete או first_visit.

כדי לבדוק את זרימת המשתמש החדש:

  • ייצאו (Export) את העוגיות הנוכחיות שלכם.
  • מחקו את דגל ה-onboarding.
  • רעננו את הדף.

זה מאפשר לכם לבדוק ענפי UI מתקדמים ללא צורך בחשבון חדש.

  1. החליפו תפקידי משתמש ב-30 שניות באמצעות snapshots

אם לאפליקציה שלכם יש תפקידים שונים כמו Admin או Guest, אל תתחברו ותתנתקו ידנית. השתמשו ב-cookie snapshots.

  • התחברו כ-Admin. ייצאו את העוגיות כ-admin-session.json.
  • התחברו כמשתמש רגיל (Regular User). ייצאו אותן כ-user-session.json.
  • כדי להחליף תפקידים, פשוט ייבאו (import) את קובץ ה-JSON ורעננו את הדף.

השרת סומך על ה-session token. אתם משתמשים בסשנים תקפים שכבר יצרתם. שמרו את קובצי ה-JSON הללו מקומית. הם מכילים session tokens רגישים.

  1. בדקו סשנים שפג תוקפם באופן מיידי

אל תחכו שעות עד שסשן יפוג. שנו את תאריך הפקיעה באופן ידני.

ב-DevTools, לחצו פעמיים על עמודת ה-Expires עבור עוגיית הסשן שלכם. הגדירו אותה לתאריך בעבר. רעננו את הדף. אתם תראו בדיוק מה קורה כאשר סשן פג תוקפו (times out).

  1. תקנו לולאות הפניה (redirect loops) של התחברות

לולאות קורות לעיתים קרובות בגלל עוגייה ישנה (stale) או לא תקינה (malformed). הסשן קיים, אך השרת דוחה אותו.

כדי למצוא את הגורם:

  • זהו את כל העוגיות הקשורות לאימות (auth).
  • מחקו אותן אחת אחת.
  • רעננו את הדף לאחר כל מחיקה.

ברגע שהלולאה נעצרת, מצאתם את העוגייה הפגומה. זה עוזר לכם לזהות אם הבעיה היא טוקן (token) לא תקין או דומיין עוגייה (cookie domain) שגוי.

השיטות הללו עובדות אפילו עבור עוגיות HttpOnly מכיוון ש-DevTools ותוספים כמו CookieJar פועלים ברמת הדפדפן.

מקור: https://dev.to/ktg0215/5-cookie-tricks-for-debugging-auth-issues-in-chrome-no-more-creating-test-accounts-43b5