Можно ли использовать один и тот же домен в куках при работе с общим сервисом авторизации для различных доменных имен?

Question

Равиль

http-cookies , fastapi , веб-разработка

Можно ли использовать один и тот же домен в куках при работе с общим сервисом авторизации для различных доменных имен?

Здравствуйте! <br/> <br/> Я давно планирую создать единый сервис авторизации, который будет обслуживать несколько сайтов, и наконец-то приступил к его реализации. В ходе работы у меня возник один вопрос: проекты размещены на разных доменах (не поддоменах, а именно на разных доменах). Я понимаю, что установить куки для нескольких доменов одновременно невозможно. <br/> <br/> Тем не менее, у меня появилась идея, и я хотел бы узнать, насколько она оправдана: <br/> При авторизации можно ли извлекать нужный домен из запроса или его тела и подставлять его в куки? <br/> <br/> <pre><code class="python">response.set_cookie(
            key="Authorization",
            value=token,
            httponly=True,
            max_age=settings.access_token_expire,
            domain=".site.ru" или "othersite.ru"
        )</code></pre>

15 октября 2024 г. 17:03

Ответы на вопрос 1

Похожие вопросы

Answer 1

Ваша идея насчет использования жёстко заданного домена для куки действительно имеет свои ограничения из-за политики браузеров, которые не позволяют устанавливать куки для разных доменов. Вот некоторые важные моменты, которые следует учитывать:

1. **Ограничение домена в куках**: Кука может быть установлена только для определенного домена или поддомена, и эта кука не будет доступна для других доменов. Например, если вы установите куку для `site.ru`, она не будет доступна для `othersite.ru`.

2. **Использование схожих доменов**: Если ваши сайты имеют одинаковые поддомены (например, `app.site.ru` и `app.othersite.ru`), вы можете использовать общий домен для куки, устанавливая их на уровень `.site.ru`. В противном случае, единого решения для разных доменов нет.

3. **Идея с извлечением домена из запроса**: Получить реальный домен, с которого поступил запрос, действительно можно, но однако вы не сможете установить куку для всех ваших доменов одновременно. Вы можете устанавливать куки по отдельности для каждого домена, когда пользователь авторизуется на каждом из них, но это потребует повторной аутентификации.

4. **Совместная аутентификация**: Если вы хотите реализовать общую аутентификацию между разными доменами, можно использовать другие подходы:
   - **OAuth 2.0**: Используйте стандартные протоколы, такие как OAuth 2.0, для авторизации через единый сервис. Это позволит пользователю вводить свои данные один раз и использовать их на разных сайтах, без необходимости установки куков.
   - **Redirect с авторизацией**: Перенаправьте пользователей на сервис авторизации и верните его обратно с токеном, который будет сохранён как кука на конкретном домене.

5. **JWT (JSON Web Tokens)**: Можно использовать токены для аутентификации с возможностью их хранения в локальном хранилище или sessionStorage браузера, что будет менее зависимо от куков.

Таким образом, необходимость создания общего сервиса авторизации может потребовать использование протоколов и технологий, которые предназначены для безопасной работы с разными доменами, таких как OAuth, OpenID Connect и т. д.