java设置Domain为一级域名以解决cookie跨域的问题

原因:
在做JWT权限验证的时候,前台的同事要求后台把返回的token放到Cookie中,但是cookie是不能跨域的(原本是通过响应头给的),这就造成了页面跳转时请求头带不上cookie中的token。这时只要把Domain设置成.+一级域名那么就能解决cookie跨域的问题了。
解决方法:
就是这句代码:response.addHeader(“Set-Cookie”, token的名字=token的值;Path=/;Domain=.一级域名;");

这样有几个需要注意的地方:
1为什么不在CookieUtils中设置domain？
2为什么不用response.setHeader？
3为什么没有设置有效期？
4为什么没有设置HTTPOnly?
项目中使用到zuul作为网关转发请求，这就会出现一个问题：在网关过滤器中获得的请求路径是域名的形式，但是转发到user微服务后requestUrl就会变成服务器的IP，这时再设置domain已经没有意义了。后台签发令牌的时候给了一个token和refreshToken，如果使用response.setHeader的话refreshToken就会覆盖token。我试过把cookie设置有效期，出现的问题是：第一次cookie里面有token和refreshToken但是后面清除cookie后请求登录接口就不会再写入cookie了。那为什么不带上HTTPOnly呢？如果带上这个那么前台JS就读不到cookie里面的值了。

最终的结果就是这样，如图：第一个Authorization带了www是不行的，第二个可以。同理第四个也可以。N/A代表cookie有效期为一次会话，如果是时间就代表cookie的过期时间。