需要推荐我的解决方案吗
我在saas体系结构中有一个多租户产品，这意味着相同的api对于所有客户机都是通用的。所以我们托管在公共域（xyz.com）中。
但是我们有n个前端客户端（例如：.com，fb.com，test.com）。
我们需要通过cookie将用户的登录信息存储在令牌中。实现这一目标的最佳方法是什么？
问题是：
在浏览器中设置Cookie时，获取与当前主机url相关的无效域属性。chrome f12 window网络响应截图
我的网站现在在.com上运行，api托管在xyz.com上。
尝试在从.com到xyz.com的ajax调用中将域设置为.com的cookie，但是在浏览器和cookie中没有设置。
但是如果我将cookie域设置为xyz.com，那么cookie是在.com中设置的。
我的结论是：
brower将只接受来自api域的cookie（ui-有一种方法可以跳过-samesite）。因此，我可以使我的cookie作为一个http只和安全的cookie。
xsrf令牌->将仅在http中安全cookie x-xsrf-token->将在本地存储中
以防xss和csrf（已编辑）