@jeruthadam
Я крут

Как использовать JWT с httpOnly кукой?

Есть клиент - example.com
Есть сервер авторизации - authserver.com
Есть сервер АПИ - apiserver.com

Клиент успешно коммуницирует с сервисом авторизации, получает токен и сохраняется он как httpOnly, для пущей безопасности. Но как быть дальше? Как взаимодействовать с apiserver.com, если кука-то стоит для authserver.com? Все примеры в сети без httpOnly, либо про случаи когда все на одном домене. А что можно придумать в моем случае?
  • Вопрос задан
  • 157 просмотров
Пригласить эксперта
Ответы на вопрос 2
gzhegow
@gzhegow
Думал, стану умнее, когда адаптируюсь, но нет
Интересное наблюдение. Может об этом говорят умники когда stateless. Типа первый контакт с сервером и токеном обязателен, сохранив куку и для второго домена тоже. Типа первый преобразует логин и пароль в токен а второй получая токен не из куки но из заголовка создает куку для другого домена.

Другое может какойто локалсторейдж но никогда не видел статей которые прям хвалят локал сторейдж.

Еще можно пробовать сделать сервер сессий на какомто редисе. И туда пихать а не в куку. Но походу все равно кудато надо деть идентификатор сессии потом поэтому не, бред.

Видимо надо два запроса делать. Один аутентифицируйся на аутсервер, а по возврату авторизуйся уже на другой сервер. Кука на первом сервере типа как не нужна получается. Задача тупо переслать ответ авторизатора второму серверу и уже там куку сделать...
Ответ написан
alexfilus
@alexfilus
Fullstack разработчик
А может их всё-таки сделать на одном домене? Пусть даже это разные сервисы, настроить nginx так, чтобы он запросы на domain.com/auth слал на сервер авторизации, а остальные на другой.
Это решит проблему с доступностью кук, и доступа с клиента к ним не появится.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы