Teilen Benutzersitzung zwischen SPA (Subdomain) und API in Hauptdomäne

Question

Ich arbeite in einem SPA (einzelne Seite App), die meine Idee ist es in app.mydomain.com bereitzustellen, und die Sache ist, wenn eine Marke eine Anfrage an die API (CakePHP3 in mydomain.com) Ich kann keine Daten von authentifizierten Benutzer (wenn es eine gibt).

Ich denke, ich habe zwei Optionen, teilen Sitzung zwischen Domänen, oder verwenden Sie ein user_token, um einen authentifizierten Anruf zu machen, aber ich bin mir nicht sicher, wie es funktioniert.

Irgendwelche Ideen/Empfehlungen?

Grüße!

Answer 1

Ich würde empfehlen, ein "user_token" zu verwenden. Sie können Ihrer API einen Authentifizierungsendpunkt hinzufügen, an den der Benutzer die Anmeldeinformationen sendet, und der Endpunkt gibt eine JWT zurück. Dann sollten Sie diese JWT in jede nachfolgende Anfrage an Ihre API (im Authorization-Header) aufnehmen. Die API kann dann die Anfrage basierend auf dem JWT validieren. In PHP gibt es bereits einige gute Bibliotheken, um ein JWT zu erstellen und zu validieren. Wenn Sie Zeit haben, sollten Sie sich auch OAuth2 ansehen.