我可以为另一个域指定并设置仅HTTP cookie吗?

时间:2019-03-10 06:39:13

标签: go cookies browser oauth

假设我有一个包含两个域的服务 app.myapp.com api.myapp.com 我的应用程序执行了整个OAuth / OpenID流。 app.myapp.com/oauth app.myapp.com/oauth/回调 在/ callback中,我将accessToken设置为当前域(app.myapp.com)上的仅HTTP cookie。 我在api.myapp.com上有各种各样的微服务,所有这些都需要一个accessToken才能工作。 在OAuth流程的/ callback阶段,我可以在仅使用HTTP的Cookie中指定其他域吗? 我正在使用Go + Gin c.SetCookie(     “ accessToken”,     accessToken,     3600,     “ /”,     “”,     假,     真正, )

1 个答案:

答案 0 :(得分:0)

嗯,这取决于。通常,不能,您不能为其他域设置Cookie。

但是您可以通过设置cookie的Domain属性,为您“控制”的域的所有子域设置cookie(有关详细信息,请参阅RFC 6265和publicsuffix.org)。