3
我的應用程序有一個PHP服務器和一個客戶端(一個JS單頁應用程序)。他們是單獨的項目並部署在不同的域中。客戶端使用服務器公開的RESTful API。有會話/ cookie的CORS請求
此應用程序將與處理身份驗證的第三方集成,因此用戶無法直接登錄。我們的服務器只是收到一個SSO令牌(它有適當的簽名,以便我們驗證其完整性)。
我們還爲所有請求在傳輸層執行安全性。
我想要做的是,一旦SSO令牌得到驗證,就啓動我自己的會話,然後將用戶重定向到客戶端。我認爲,一旦創建了會話,瀏覽器就會自動發送正確的Cookie頭文件給異步API調用,但似乎並非如此。
由於安全原因,故意將其禁用嗎?
非常感謝。這工作。我接受這個答案而不是@CBroe,因爲這個也提到了'Access-Control-Allow-Credentials'頭。 作爲一個側面說明,'Access-Control-Allow-Origin'不能是通配符('*')。 – cafonso