Как настроить взаимодействие FE (localhost) с BE (remote server) с withCredentials?

Question

[lexstile]

Необходимо отправить запрос с локальной машины на удаленный server/хостинг.
Вызов метода осуществляется методом POST на url: https://site.ru/v1/auth/login

На данный момент запрос не осуществляется из-за ошибки CORS.

Заголовки (php):

header('Access-Control-Allow-Credentials: true');
header('Access-Control-Allow-Origin: '.$_SERVER['HTTP_ORIGIN']);
header('Access-Control-Allow-Methods: *');
header('Access-Control-Allow-Headers: *');

UPD: с заголовками разобрался - вызов метода заработал. Но как поставить куку со стороннего сервера на localhost?

Answer 1

[Владимир Дубровин]

Обычно авторизация возвращается токен (можно например в виде JWT) который передается в фронтенд, фронтенд проверяет токен проверкой подписи или серверсайдным запросом и проставляет куку.

Comments

[lexstile]

Кука не ставится на localhost со стороннего сервера.

[lexstile]

setcookie('token', '111111', $exp, '/', 'localhost');

Но в Application -> Cookies - пусто.
При последующих запросах $_COOKIE тоже пустой.

[Владимир Дубровин]

Надо ставить не со стороннего сервера а с фронтенда (локалхоста), в ответе именно такая схема описана

[lexstile]

Владимир Дубровин, в моем случае BE проставляет куку, т. к. на FE работать с ними небезопасно.
Плюс, кука будет с флагом httpOnly, ее только с BE можно ставить.

[Владимир Дубровин]

lexstile, у вас странные представления о фронтенде и бекенде. Куда с этой кукой будут обращения и кто будет ее проверять?

[lexstile]

Владимир Дубровин, возможно, я только пытаюсь разобраться)

1. Пользователь вводит логин/пароль
   
2. FE отправляет запрос POST /auth/login
   
3. BE проверяет пару логин/пароль и выдает 2 JWT токена - refresh и access (refresh ставит в куку с флагом httpOnly, access должен вернуть на FE, чтобы тот подписывал запросы)
   

[Владимир Дубровин]

Есть фронтенд, есть бекенд и есть клиентсайд (то что работает в браузере). Насколько я понимаю. POST у вас формирует клиентсайд. Дальше этот POST из браузера куда идет? Если в то, что вы называете бекендом минуя фронтенд, то это не бекенд, а фронтенд сервера авторизации. Он в клиентсайд (видимо) возвращает рефреш-токен кукой (кука на домен сервера авторизации, потому что с рефреш-токеном ходят на сервер авторизации, а не в API) + аксес токен. Т.е. кука с рефреш токеном должна быть не с локалхоста, а с того сервера, который атворизует пользователя. Что вы дальше будете дергать с аксес токеном? Если ходить в фронтенд на локалхосте, то сделайте ручку на локалхосте, куда передается аксесс-токен из клиентсайда и которая проставляет этот токен в куку (или генерирует отдельную сессионную куку а токен хранит серверсайдно). Либо можете из клиентсайда передавать токен с каждым запросом в API на фронтенд. Если аксесс-токен протухает - делаете редирект на сервер авторизации для получения нового аксесс-токена. Клиентсайд приходит туда с рефреш-токеном в куке и получает новый аксесс-токен, который пробрасывает в ваше ручку, которая проставляет куку (или просто обновляет токен в клиентсайдной переменной внутри скрипта, если токен передается в запросах к API)