Почему на фронт не приходят куки из ларавел?

Question

[Kentavr16]

написал простой бек на ларавел. Но уже на этапе аутентификации возникла проблема. При отправке запроса на путь login (использую встроенный механизм аутентификации ларавел+бриз) на фронт приходит ответ 204, как и должен. Но в заголовках отсутствует set-cookie с куками сессии. При этом на постман при тестировании приходят 13 заголовков(включительно с сет-куки для crsf и сессии), на мой фронт на реакте - всего 3(cache-control,pragma,expires). Запрос делаю через аксиос, ничего необычного -

try{
          axios.post('http://127.0.0.1:8000/login',formData,{
          headers:{"Accept":"application/json"}
        }).then(resp=>{
          console.log(resp.headers);
        })     
            
      }catch(e:any){
        if(e.response.data.errors)
        {
          handleErrorsFromBackend(e.response.data.errors)
        }
      }

Признателен за любую наводку.

п.с. - на ларавел FRONTEND_URL выставлен правильно, ошибок никаких нет ни в одной из консолей.

п.п.с - добавил -

ряд заголовков, которые отправляет ларавел

$response->headers->set('Access-Control-Allow-Origin', 'http://localhost:5173');
        $response->headers->set('Access-Control-Allow-Credentials', 'true');
        $response->headers->set('Access-Control-Allow-Methods', 'GET, POST');
        $response->headers->set('Access-Control-Allow-Headers', 'Content-Type, *');

. Не помогло.

Comments

[Kentavr16]

вот вопрос, который вроде как объясняет, но решения там не описано. Я не пытаюсь изменять куки - проблема в том что они не устанавливаются в браузере. Постман отрабатывает отлично.

[szQocks]

Kentavr16, добавь к запросу withCredentials: true, куки приходить приходят - а толку ? они не установятся если не даёшь добро с фронта на это

[Kentavr16]

szQocks, вот так выглядит по состоянию на сейчас мой запрос

try{
          axios.post('http://127.0.0.1:8000/login',formData,{
          headers:{
            'Access-Control-Allow-Origin': '*',
            'Content-Type': 'application/json',
          },
          withCredentials:true,
          
        }).then(resp=>{
          console.log(resp);
        })

Не работает. Перечитал много тем - такая проблема довольно частая. Но пока манипуляции с параметрами запроса, хедерами не дают результата.

[szQocks]

Kentavr16, а фронт у тебя тут ? http://localhost:5173

[Дмитрий]

просто скопируйте пост запрос как курл из постмана и из браузера добавьте к обоим запросам -vvv и сравните что шлет в первом случае и что во втором.

[szQocks]

Kentavr16, хм

попробуй изменить axios запрос

axios.post('http://127.0.0.1:8000/login',{ data: formData, withCredentials:true }).then(resp=>{
          console.log(resp);
        })

[Kentavr16]

szQocks,

а фронт у тебя тут ? localhost:5173

да, конечно. Иначе я бы поймал CORS.

[Kentavr16]

szQocks, нет, с такими параметрами запроса просто ловлю ошибку - тело запроса теряется.

[szQocks]

Kentavr16, попробуй за место 127.0.0.1 сделать localhost

[Kentavr16]

szQocks, Сейчас вот по совету Дмитрий посмотрел в консоли, во вкладке "сеть" расширенную информацию по запросу. И ВОТ ТАМ есть хедеры с куками и маааленьким треугольничком, который сигнализирует что не все ок.
Завтра доковыряю, думаю. Притом что я уже пытался выставлять этот заголовок. Капец короче.

[Kentavr16]

szQocks, Я в шоке ) Ты был прав. Я поменял локальное айпи на "локалхост", и куки поставились. Теперь браузер увидел что они с сервером из одного домена! ШОК. Поставь ответом, отмечу. Спасибо большое за помощь!

[Константин Б.]

Kentavr16, тебе браузер на вкладки console должен был насыпать нотисы красным цветом с описапием того что запрос не может быть выполнен из-за политики CORS

[Kentavr16]

Константин Б., я тоже так думал. Оказывается он ничего никому не должен. Ноль уведомлений. Запрос пришел,куки сам ищи.

[Kentavr16]

Константин Б., причем это нормальное поведение. Пробовал на трёх браузерах, все то же. Если бы эта ошибка или хоть намек на нее выпали в консоль, вопрос бы я не задавал, ведь описание ошибки явно указывает на решение.

Answer 1

[Kentavr16]

Вопрос решился благодаря наводке Дмитрий и мозговому штурму szQocks. Куки не приходили из-за того, что в запросе на сервер я использовал как адрес IP - 127.0.0.1:8000/login. Браузер распознавал это как нарушение CORS для установки куки (подробнее в комментариях к вопросу). Осложнило решение проблемы то, что запрос распознается как успешный. Консоль браузера пуста, увидеть проблемное место можно только во вклатке "сеть" при выборе соответствующего запроса. В моем случае помогла смена URL запроса на localhost.