为多租户体系结构设置cookie的最佳方法

vdzxcuhz  于 2021-07-23  发布在  Java
关注(0)|答案(0)|浏览(228)

需要推荐我的解决方案吗
我在saas体系结构中有一个多租户产品,这意味着相同的api对于所有客户机都是通用的。所以我们托管在公共域(xyz.com)中。
但是我们有n个前端客户端(例如:.com,fb.com,test.com)。
我们需要通过cookie将用户的登录信息存储在令牌中。实现这一目标的最佳方法是什么?
问题是:
在浏览器中设置Cookie时,获取与当前主机url相关的无效域属性。chrome f12 window网络响应截图
我的网站现在在.com上运行,api托管在xyz.com上。
尝试在从.com到xyz.com的ajax调用中将域设置为.com的cookie,但是在浏览器和cookie中没有设置。
但是如果我将cookie域设置为xyz.com,那么cookie是在.com中设置的。
我的结论是:
brower将只接受来自api域的cookie(ui-有一种方法可以跳过-samesite)。因此,我可以使我的cookie作为一个http只和安全的cookie。
xsrf令牌->将仅在http中安全cookie x-xsrf-token->将在本地存储中
以防xss和csrf(已编辑)

暂无答案!

目前还没有任何答案,快来回答吧!

相关问题