Есть клиент - example.com
Есть сервер авторизации - authserver.com
Есть сервер АПИ - apiserver.com
Клиент успешно коммуницирует с сервисом авторизации, получает токен и сохраняется он как httpOnly, для пущей безопасности. Но как быть дальше? Как взаимодействовать с apiserver.com, если кука-то стоит для authserver.com? Все примеры в сети без httpOnly, либо про случаи когда все на одном домене. А что можно придумать в моем случае?
Иван Шумов, это к чему? В одном вопросе мне помогли и я подблагодарил. Велосипед не такой велосипедный как может показатся на первый взгляд. Например, схема с сабдоменами рабочая.
OAuth я знаю что есть, но мне не подходит эта пляска с попаданием на логин на третий сервис (да и он излишне громоздкий для моих целей). Я хочу делать все прозрачно.
А может их всё-таки сделать на одном домене? Пусть даже это разные сервисы, настроить nginx так, чтобы он запросы на domain.com/auth слал на сервер авторизации, а остальные на другой.
Это решит проблему с доступностью кук, и доступа с клиента к ним не появится.
