技术总结 - Token的携带
| 场景 | 推荐方式 | 原因 |
|---|---|---|
| 浏览器client + 同源same-origin | http-only Cookie + credentials:"include" |
1. 使用fetch,同源,需要incredentials: "include"! 2. 同源server响应的时候只需要set-cookie,不需要额外的 allow-origin!简化配置 |
| 浏览器client + 跨域cross-origin | Authorization | 避免复杂 CORS + SameSite 限制 |
| SSR + 内部 API 调用 | Authorization 更通用 | 语义清晰,Token 自带权限语义 |
| 服务间通信(微服务) | ✅ Authorization | 可扩展、可审计、无状态化设计 |
| 服务间“必须模拟用户行为” | Cookie ✅ 也可用 |
技术上没问题,理论上语义不符合:为什么服务端之间通信 会有cookie这种浏览器技术? |
技术总结:
1. client + same-origin 用 http-only cookie
2. 其他场景:server & client + cross-origin 用Athorization
浙公网安备 33010602011771号