【发布时间】:2021-10-31 18:53:45
【问题描述】:
这个问题与大多数问题/教程所讨论的相反。
假设我们在同一个域下有 2 个 SPA。例如spa1.company.com 和spa2.company.com。他们都针对同一个api进行身份验证api.company.com
服务器设置了一个 cookie httponly、secure、samesite=strict,域为api.company.com。 cookie只有经过身份验证的函数api.company.com/authenticate才需要(所以cookie的路径是/authenticate)
(据我了解,不能设置为spa1.company.com,因为调用api.copmany.com时不会发送)
因此,现在两个 SPA 都将在调用身份验证方法时发送 cookie。为了每个 SPA 有 1 个 cookie,应该进行哪些设置?
我可以通过路径做一些有趣的事情来缓解它,但我确信那里有更好的解决方案。
【问题讨论】: