Мне удалось заставить файлы cookie работать в этом сценарии, добавив config/initializers/session_store.rb в мое приложение Rails, содержащее:
Rails.application.config.session_store :cookie_store, key: 'session', domain: :all
, из-за которого сессия Cook ie была не для api.projectx.lvh.me, а для .projectx.lvh.me.
Во внешнем интерфейсе API-вызовы должны были включать withCredentials, что при Ax ios для параметра withCredentials было установлено значение true:
Axios.post(`${apiEndPoint()}/users`, { user: values }, { withCredentials: true })
и с fetch это была опция credentials, установленная на "include":
fetch(`${apiEndPoint()}/graphql`, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
credentials: "include",
body: JSON.stringify({
query: operation.text,
variables,
}),
})