跨域传递用户身份，安全获取个性化数据方法

本文介绍在前后端分离、API 与前端部署于不同子域（如 app.mything.com 和 api.mything.com）时，如何在不显式传递 user_id 的前提下，安全、可靠地识别用户并检索其专属数据。核心方案包括共享会话存储和加密令牌化认证。

本文介绍在前后端分离、API 与前端部署于不同子域（如 app.mything.com 和 api.mything.com）时，如何在不显式传递 user_id 的前提下，安全、可靠地识别用户并检索其专属数据。核心方案包括共享会话存储和加密令牌化认证。

当 Web 应用与 API 拆分为独立子域（如 app.mything.com 与 api.mything.com）后，浏览器同源策略将阻止跨子域 Cookie 共享，导致传统基于内存或文件的会话（如 Go 的 gorilla/sessions 默认配置）失效——前端登录建立的 session 无法被 API 服务读取，进而无法从上下文隐式获取 userID。

✅ 推荐方案一：统一后端会话存储（推荐用于可控环境）

将 session 数据持久化到 API 与前端应用均可访问的共享存储中，例如 MySQL、Redis 或 PostgreSQL。以 Redis 为例（更轻量、高性能）：

// Go API 服务中配置共享 session store（使用 gorilla/sessions + redisstore）
import (
    "github.com/gorilla/sessions"
    "gopkg.in/redis.v5"
    "github.com/boj/redistore"
)

var store = redistore.NewRediStore(10, "tcp", "localhost:6379", "", []byte("secret-key"))
store.Options = &sessions.Options{
    Domain:   ".mything.com", // 关键：设置为父域，使 app. 和 api. 均可读写
    Path:     "/",
    MaxAge:   86400,
    HttpOnly: true,
    Secure:   true, // 生产环境务必启用 HTTPS
}

func handler(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "auth-session")
    userID, ok := session.Values["user_id"].(int)
    if !ok {
        http.Error(w, "Unauthorized", http.StatusUnauthorized)
        return
    }
    // 执行 SELECT * FROM sometable WHERE userid = ?
}

⚠️ 注意事项：

• Domain: ".mything.com" 必须带前导点号，表示该 Cookie 对所有子域有效；
• 确保前后端均使用同一密钥（[]byte("secret-key")）加解密 session；
• Redis 实例需对两个服务网络可达，且做好连接池与超时配置。

✅ 推荐方案二：基于 JWT 的无状态令牌认证（更现代、可扩展）

弃用服务端 session，改由前端在登录成功后接收一个签名 JWT，后续每个 API 请求通过 Authorization: Bearer <token> 携带。API 服务验证签名并解析出 userID：

// 登录成功后签发 token（Go 示例，使用 github.com/golang-jwt/jwt/v5）
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
    "user_id": 123,
    "exp":     time.Now().Add(24 * time.Hour).Unix(),
})
signedToken, _ := token.SignedString([]byte("jwt-secret"))

// 前端存储于 HttpOnly Cookie 或 localStorage（推荐前者 + SameSite=Lax）
http.SetCookie(w, &http.Cookie{
    Name:     "auth_token",
    Value:    signedToken,
    Domain:   ".mything.com",
    Path:     "/",
    HttpOnly: true,
    Secure:   true,
    SameSite: http.SameSiteLaxMode,
})

// API 中间件校验 JWT
func authMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        cookie, err := r.Cookie("auth_token")
        if err != nil {
            http.Error(w, "Unauthorized", http.StatusUnauthorized)
            return
        }
        token, _ := jwt.Parse(cookie.Value, func(t *jwt.Token) (interface{}, error) {
            return []byte("jwt-secret"), nil
        })
        if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
            userID := int(claims["user_id"].(float64))
            ctx := context.WithValue(r.Context(), "user_id", userID)
            next.ServeHTTP(w, r.WithContext(ctx))
        } else {
            http.Error(w, "Invalid token", http.StatusUnauthorized)
        }
    })
}

⚠️ 关键安全提醒

• 永远不要在 URL 或请求体中明文传 user_id —— 易被日志、代理、前端调试泄露；
• 避免使用 localStorage 存储敏感 token —— XSS 风险高；优先采用 HttpOnly + Secure + SameSite=Lax Cookie；
• 跨域需正确配置 CORS：API 响应头中设置 Access-Control-Allow-Origin: https://app.mything.com，禁用 Access-Control-Allow-Credentials: true 时不可设为 *；
• 定期轮换密钥：JWT secret 和 session 密钥应支持热更新，防止长期泄露风险。

综上，对于学习项目，建议从 Redis 共享 session 入手，逻辑直观、调试友好；面向生产或微服务演进，则推荐 JWT + 网关统一鉴权 架构，更符合 RESTful 与无状态设计原则。