@jeruthadam

Как использовать JWT с httpOnly кукой?

Есть клиент - example.com
Есть сервер авторизации - authserver.com
Есть сервер АПИ - apiserver.com

Клиент успешно коммуницирует с сервисом авторизации, получает токен и сохраняется он как httpOnly, для пущей безопасности. Но как быть дальше? Как взаимодействовать с apiserver.com, если кука-то стоит для authserver.com? Все примеры в сети без httpOnly, либо про случаи когда все на одном домене. А что можно придумать в моем случае?
  • Вопрос задан
  • 93 просмотра
Пригласить эксперта
Ответы на вопрос 1
gzhegow
@gzhegow
Думал, стану умнее, когда адаптируюсь, но нет
Интересное наблюдение. Может об этом говорят умники когда stateless. Типа первый контакт с сервером и токеном обязателен, сохранив куку и для второго домена тоже. Типа первый преобразует логин и пароль в токен а второй получая токен не из куки но из заголовка создает куку для другого домена.

Другое может какойто локалсторейдж но никогда не видел статей которые прям хвалят локал сторейдж.

Еще можно пробовать сделать сервер сессий на какомто редисе. И туда пихать а не в куку. Но походу все равно кудато надо деть идентификатор сессии потом поэтому не, бред.

Видимо надо два запроса делать. Один аутентифицируйся на аутсервер, а по возврату авторизуйся уже на другой сервер. Кука на первом сервере типа как не нужна получается. Задача тупо переслать ответ авторизатора второму серверу и уже там куку сделать...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы