Совместное использование сеанса пользователя между SPA (поддомен) и API в основном домене.
Я работаю в SPA (одностраничное приложение), моя идея в том, чтобы развернуть его на app.mydomain.com, и дело в том, что когда я делаю запрос к API (CakePHP3 на mydomain.com), я не могу получить данные от аутентифицированного пользователя (если есть).
Я думаю, что у меня есть два варианта, разделить сессию между доменами или использовать user_token, чтобы сделать аутентифицированный вызов, но я не уверен, как это работает.
Любые идеи / рекомендации?
С уважением!
Решение
Я бы порекомендовал использовать «user_token». Вы можете добавить конечную точку аутентификации в свой API, где пользователь отправляет учетные данные, а конечная точка возвращает JWT. Затем вы должны включить этот JWT в каждый последующий запрос к вашему API (в заголовке авторизации). Затем API может проверить запрос на основе JWT. В PHP уже есть несколько хороших библиотек для создания и проверки JWT. Если у вас есть время, вы также должны взглянуть на OAuth2.
Другие решения
Других решений пока нет …