假设我有一个有两个域的服务
app.myapp.com
api.myapp.com
我的应用程序执行整个OAuth / OpenID流程。
app.myapp.com/oauth
app.myapp.com/oauth/callback
在/callback中,我将accessToken设置为当前域(app.myapp.com)上的纯http cookie。
我有各种各样的微服务,住在api.myapp.com,所有这些都需要accessToken工作。
在OAuth流程的/callback阶段,我可以在仅限http的cookie中指定其他域吗?
我正在使用Go + Gin
c.SetCookie(
"accessToken",
accessToken,
3600,
"/",
"",
false,
true,
)
这得看情况。通常,不,您不能为其他域设置Cookie。
但您可以通过设置cookie的Domain属性为您“控制”的域的所有子域设置cookie(有关详细信息,请参阅RFC 6265和publicsuffix.org)。