如何在解耦的前端和后端中的每个请求中仅发送 http cookie（包含 jwt）？

Question

如何在分离的前端和后端中为每个请求发送仅 http cookie？我的前端和后端是通过 heroku 部署的，前端在这里 :- https://chatapp-client-12345.herokuapp.com/

后端在这里 :- https://chatappbackend12345.herokuapp.com/

我想将我的 http only cookie（包含 jwt）发送到我的后端，每个请求都是这样设置的：-

// generate jwt
    let jwtToken = jwt.sign({
        email:email,
        userId:userData._id
    },"somesupersecret");
    res.cookie("jwtToken",jwtToken,{
        expires:new Date(Date.now() + 3600000),
        httpOnly:true,
        domain:"chatapp-client-12345.herokuapp.com"
    });

但是前端没有设置http only cookie

通过研究发现我只能访问同域的cookie，但是如果我的前端和后端解耦了怎么办？

我的后端基于使用 rest apis 构建的节点 js，前端包含使用节点 js 提供的简单 html css js

Answer 1

假设您的域是https://chatappbackend12345.herokuapp.com/，您只能在两个域上设置 cookie：

(1) 确切域和子域：

chatappbackend12345.herokuapp.com

(2) 根域：

.herokuapp.com

对于您的情况，您的前端和后端的域不同，这意味着 cookie 永远无法同时被双方访问。

也不太可能（或不可行）将 cookie 设置为根域，因为您几乎无法信任来自不属于您的网站的 cookie。

域和解耦是分离的概念。在前端和后端应用程序保持分离的情况下，您可以拥有相同的域。

实现它的一种方法是通过反向代理（参考：nginx reverse proxy）。您可以在前端和后端之上添加反向代理，将它们路由到同一个域。

例如，在您自己的域下，您可以使用以下路由策略制作反向代理应用程序：

https://chatappbackend12345.herokuapp.com/login: 后端应用 https://chatappbackend12345.herokuapp.com/* : 前端应用

对于这种情况，cookie 可以由您的服务器在客户端设置，而两个应用程序保持解耦。

有关 cookie 政策的更多信息，请查看rfc6265。