bool setcookie ( string $name [, string $value [, int$expire = 0 [, string$path [, string $domain [, bool$secure = false [, bool$httponly = false 。你可以去后盾人看看,这样会有不错的效果。
项目背景用户登录成功后,服务端生成token,并保存在cookie里。http的cookie机制解决了http请求的无状态,短连接的特性,前端后续的请求都不需要传token或密码,就可以实现权限的认证。
但是方便的同时,跨域和同源的问题随之而来。
不是同源,cookie是不能读写的。(这里的同源是指相同的协议,主机,端口;只要其中任何一项不相等,就不是同源。)(三级域名abc.xx.com 与 二级域名 xx.com 是同源吗?)
下面以几组图来表示:
1、前后端分离的正常访问模式
后端cors配置相应前端的域名,允许跨域访问。后端的域名是meng.abc.com,前端的域名是m.abc.com。因为是同源,cookie读写正常。
2、多个前端域名,访问同一个后端服务的情况
现在增加了两个前端域名,m.51.com, m.xx.com。如下图所示,即使配置跨域的域名,但是也解决不了cookie读写的同源问题!!
3、多个前端域名,分别访问多个后端服务的情况
因为同源的特性,需要针对每个前端域名,分别对应一个后端域名。如下图所示,解决cookie的同源正常读写问题。
备注:这里就不详细讲解跨域的解决方案。上述,只要是前后端分离,都需要配置跨域的cors的二级域名。
spring.domain=abc.com51.comxx.com
spring.corsOrigins= http://m.abc.comhttps://m.abc.comhttp://m.51.comhttps://m.51.comhttp://m.xx.comhttps://m.xx.com
后期可能优化的地方:把token存储在localstorage等地方,通过http header 传递到服务器验证,不要使用http cookie机制,好处既能避开crsf跨站攻击,又能解决同源的跨域问题。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)