Могу ли я указать и установить http-cookie только для другого домена?

Question

Скажем, у меня есть служба с двумя доменами

app.myapp.com
api.myapp.com

Мое приложение выполняет весь поток OAuth / OpenID.

app.myapp.com/oauth
app.myapp.com/oauth/callback

В /callback я установил accessToken в виде файла cookie только для http в текущем домене (app.myapp.com).

У меня есть ассортимент микросервисов, работающих на api.myapp.com, для работы которых требуется accessToken.

На этапе /callback потока OAuth я могу указать другой домен в своем файле cookie только для http?

Я использую Go + Gin

c.SetCookie(
    "accessToken", 
    accessToken, 
    3600, 
    "/", 
    "", 
    false, 
    true,
)

Answer 1

Ну, это зависит.Как правило, нет, вы не можете устанавливать куки для другого домена.

Но вы можете установить куки для всех поддоменов домена, который вы «контролируете» (подробнее см. RFC 6265 и publicsuffix.org), задав доменатрибут файла cookie.