cookie在多域名下的跨域解决办法

项目背景

用户登录成功后，服务端生成token，并保存在cookie里。http的cookie机制解决了http请求的无状态，短连接的特性，前端后续的请求都不需要传token或密码，就可以实现权限的认证。

但是方便的同时，跨域和同源的问题随之而来。

不是同源，cookie是不能读写的。（这里的同源是指相同的协议，主机，端口；只要其中任何一项不相等，就不是同源。）（三级域名abc.xx.com 与 二级域名 xx.com 是同源吗？）

下面以几组图来表示：

1、前后端分离的正常访问模式

后端cors配置相应前端的域名，允许跨域访问。后端的域名是meng.abc.com,前端的域名是m.abc.com。因为是同源，cookie读写正常。

2、多个前端域名，访问同一个后端服务的情况

现在增加了两个前端域名，m.51.com, m.xx.com。如下图所示，即使配置跨域的域名，但是也解决不了cookie读写的同源问题！！

3、多个前端域名，分别访问多个后端服务的情况

因为同源的特性，需要针对每个前端域名，分别对应一个后端域名。如下图所示，解决cookie的同源正常读写问题。

备注：这里就不详细讲解跨域的解决方案。上述，只要是前后端分离，都需要配置跨域的cors的二级域名。

spring.domain=abc.com51.comxx.com

spring.corsOrigins= http://m.abc.comhttps://m.abc.comhttp://m.51.comhttps://m.51.comhttp://m.xx.comhttps://m.xx.com

后期可能优化的地方：把token存储在localstorage等地方，通过http header 传递到服务器验证，不要使用http cookie机制，好处既能避开crsf跨站攻击，又能解决同源的跨域问题。

你可以尝试用转连接方法。设置A为主要地址，当用户输入B时，自动跳转至A；比如，用户输入www.zagoo.cn自动转到www.zagoo.cn/bbs这方法也可以解决你提出的问题。因为你是两个不同的域名，所以不需要加代码。只要域名管理设置中转链下即可。

第一种解决方案将每个https站点绑定到不同的端口。但是这样的话客户端浏览网页时必须手动指定端口，例如 https：//site.domain.com:444

第二种解决方案是为每个站点分配一个独立的ip，这样冲突就解决了，甚至主机头也不用添加了。

第三种解决方案是使用通配证书。我们采用通配证书颁发给.domain.com，对于我们的示例中，应该采用颁发给.marei.com的证书，这样任何访问该domain的请求均可以通过该证书解密，证书匹配错误也就不复存在了。

第四种解决方案是升级为IIS8，IIS8中添加的对于SNI(Server Name Indication)的支持，服务器可以通请求中提取出相应的主机头从而找到相应的证书。

---