在子域上进行前端应用程序共享会话是个好主意吗？

Question

我正在努力将我公司的一段代码库（一个单一的 Rails 应用程序）拆分为一个单独的 React 应用程序，该应用程序与主应用程序的 API 进行通信。

最初，我打算使用 JSON Web 令牌授权请求。但后来我意识到你可以设置 Rails 应用程序来共享会话。所以我把 React 应用程序放在一个没有 DB 的 Rails 应用程序中，并配置它和主应用程序来共享它们的会话。主应用程序将用户重定向到位于子域中的此应用程序，我不必担心复杂的登录逻辑，因为会话是共享的。

我很好奇这不是一个好方法是否有任何缺点或原因。

Answer 1

我对此主题的谦虚反馈是，尝试根据您自己的理解聪明地回答以下问题，看看您对这些答案的感受。

1. Rails 在会话管理过程中添加了什么？即，加密 cookie 并验证该 cookie。
2. 在您看来，这个过程有多强？
3. 如何在类似子域的环境中利用和/或负面操纵该过程？
4. 利用的重要性（即，大规模应用程序上的敏感财务数据或潜在的丢弃原型以了解某事）

京东