Как использовать JWT с httpOnly кукой?

Question

[jeruthadam]

Есть клиент - example.com
Есть сервер авторизации - authserver.com
Есть сервер АПИ - apiserver.com

Клиент успешно коммуницирует с сервисом авторизации, получает токен и сохраняется он как httpOnly, для пущей безопасности. Но как быть дальше? Как взаимодействовать с apiserver.com, если кука-то стоит для authserver.com? Все примеры в сети без httpOnly, либо про случаи когда все на одном домене. А что можно придумать в моем случае?

Comments

[Иван Шумов]

то есть ты все еще считаешь что тебе тут в нескольких вопросах чушь втирали и хочешь написать велосипед? Охххх

[jeruthadam]

Иван Шумов, это к чему? В одном вопросе мне помогли и я подблагодарил. Велосипед не такой велосипедный как может показатся на первый взгляд. Например, схема с сабдоменами рабочая.

OAuth я знаю что есть, но мне не подходит эта пляска с попаданием на логин на третий сервис (да и он излишне громоздкий для моих целей). Я хочу делать все прозрачно.

[Иван Шумов]

jeruthadam, это и есть прозрачно)

[Иван Шумов]

Григорий Васильков, за что, интересно))

Answer 1

[Александр Филиппенко]

А может их всё-таки сделать на одном домене? Пусть даже это разные сервисы, настроить nginx так, чтобы он запросы на domain.com/auth слал на сервер авторизации, а остальные на другой.
Это решит проблему с доступностью кук, и доступа с клиента к ним не появится.