我可以为另一个域指定和设置 http-only cookie 吗?

【问题标题】:Can I specify and set http-only cookie for another domain?我可以为另一个域指定和设置 http-only cookie 吗?
【发布时间】:2019-07-31 18:43:47
【问题描述】:

假设我有一个有两个域的服务

app.myapp.com
api.myapp.com

我的应用执行整个 OAuth/OpenID 流程。

app.myapp.com/oauth
app.myapp.com/oauth/callback

/callback 中,我将accessToken 设置为当前域(app.myapp.com) 上的仅限http 的cookie。

我在api.myapp.com 上有各种各样的微服务,所有这些都需要accessToken 才能工作。

在 OAuth 流程的 /callback 阶段,我可以在我的 http-only cookie 中指定其他域吗?

我正在使用 Go + Gin

c.SetCookie(
    "accessToken", 
    accessToken, 
    3600, 
    "/", 
    "", 
    false, 
    true,
)

【问题讨论】:

标签: go cookies browser oauth


【解决方案1】:

嗯,这取决于。一般来说,不,您不能为不同的域设置 cookie。

但是您可以通过设置 cookie 的 Domain 属性为您“控制”的域的所有子域设置 cookie(详细信息请阅读 RFC 6265 和 publicsuffix.org)。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2011-10-09
    • 2015-03-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode