Как осуществлять авторизацию в SPA, если бекенд находится на другом домене?

Question

[Денис Букреев]

Есть dom.com и api.dom.com - фронтенд и бекенд, соответственно.
С CRUD все понятно и просто при таком построении приложения.

Но как быть с авторизацией?
Когда все лежит на одном домене, то при авторизации создается сессия и уже от нее идет пляс.

Answer 1

[RidgeA]

Авторизационная кука должна быть доступна для обоих доменов
В Вашем случае - домен у куки должен быть ".dom.com" - точка в начале обязательна
Сама сессия должна хранится в общем хранилище, к которому и фронт-энд и бек-энд имеют доступ (типа мемкеша или редиса).

Comments

[Денис Букреев]

Это интересно.
А что лучше - memcached или redis?
Никогда не пользовался, а хостинг предоставляет оба сервиса на одинаковых условиях

[RidgeA]

memcached - просто key-value, Redis - поддерживает более сложные операции, разные типы даных и т. п.
Для сессии, думаю, с головой хватит memcached.

[Денис Букреев]

RidgeA: спасибо

[RidgeA]

обратил внимание на теги - фронт-енд чисто на клиенте? или из модуля фронт-энда что-то на сервере крутится? Если 1й вариант - то для клиента в авторизации я смысла не вижу, главное, что бы кука была расшарена между доменами

[Денис Букреев]

"из модуля фронт-энда что-то на сервере крутится? " - не очень понятно
фронт полностью отдельно на одном домене, бэк - отдельно на другом.
Сообщаются между собой с помощью запросов

[Станислав Почепко]

Денис Букреев: Имелось с в виду ,что у вас является front-end ? Это чисто js или все же php с view ? Если чисто js - то я думаю тут целесообразней использовать аутентификацию по токену (JWT) - почитайте об этом.

[Денис Букреев]

Станислав Почепко: понял. ок, спасибо

Answer 2

[Антон]

Читайте про CORS, сервер должен поддерживать запросы их