Вечер добрый. Есть апи с oAuth 2 авторизацией api.site1.ru и 2 spa приложения site1.ru и shop.site1.ru на которых нужна единая авторизация.
Сначала был один сайт и токен хранился в localstorage, но на поддомене нету доступа на хранилище из основного домена.
Когда сайта стало 2 переделали на куки. Механизм такой:
Пользователю при регистрации/логине отдается 2 куки : auth-cookie, refresh-cookie. C auth-cookie отправляютя запросы, если она истекла, идет запрос на рефреш токена, проверяется refresh-cookie и выдается новые: auth-cooke и refresh-cookie.
Обе куки идут с такими параметрами:
minutes: 1 месяц,
domain: .site1.ru (и поддомены)
secure: true,
httpOnly: false (иначе нет возможности отправлять запросы).
Собственно смущает безопасность и правильность реализации задачи?
Простой
Средний
