メインドメインのSPA（サブドメイン）とAPIの間でユーザーセッションを共有

Question

私はSPA（シングルページアプリケーション）で働いています。私のアイデアはapp.mydomain.comに配置することです。 APIへのリクエスト（mydomain.comのCakePHP3）認証されたユーザーからデータを取得できません。

ドメイン間でセッションを共有する方法と、認証された呼び出しを行うためにuser_tokenを使う方法の2つがあると思いますが、どのように動作するのかよくわかりません。

アイデアや勧告はありますか？

よろしくお願いいたします。

Answer 1

「user_token」を使用することをお勧めします。ユーザーが資格情報を送信し、エンドポイントがJWTを返す認証エンドポイントをAPIに追加できます。次に、APIへのその後のリクエスト（Authorizationヘッダー内）にこのJWTを含める必要があります。 APIは、JWTに基づいて要求を検証できます。 PHPには、JWTを作成し検証するための優れたライブラリが既に用意されています。時間がある場合は、OAuth2も参照する必要があります。