我有一个Apache服务器和一个OpenResty服务器（如NGINX之类）在具有相同域名但不同端口（例如8443和8000）的同一服务器上运行。我可能还想将它们放在不同的服务器上，但现在还是同一台服务器。

我尝试使用加密的cookie和类似的作品，但是这样做有一些缺点，因为如果它没有以编程方式过期，它可能会持续存在，并且还有其他一些问题，尽管它在使用相同的FQDN，尽管我确实遇到了一些罕见的问题，因为它在OpenResty服务器上无法读取，这就是为什么我正在寻找一种使用标头或其他机制中的共享SESSION或某种令牌的方法的原因。 >

使用Cookie，我只是使用href和GET在OpenResty服务器上打开页面并读取Cookie。我可能是使用GET传递URL的参数，但我希望保留这些参数是不可见的，并且有些安全。我也可以张贴到该页面，但是如果可能的话，我更愿意使用其他机制。这是一个SSL连接。

我认为您可以将Apache和OpenResty配置为使用相同的PHP库（不确定，但我认为是），这样可能会有所帮助。

我对OAuth或其他身份验证机制不太熟悉。我希望访问是透明的，这样当我设置SESSION或Cookie来允许用户访问OpenResty服务器上的特定资源时，他们将自动访问已授权的资源。我实际上已经对资源种类设置了auth机制，因为该资源实际上位于另一个应用服务器上，该服务器被设置为OpenResty之后的反向代理。我需要的是将auth凭据从Apache服务器页面转移到OpenResty服务器上的页面的方法。

谢谢。

实际上没有那么多代码。我正在使用PHP。在Apache方面，实际上有一个Controller类设置cookie。那是一个AJAX调用（可能是一个问题，但似乎可行）。这只是通过AJAX返回一个链接，并在调用页面的iFrame中打开了该链接。该部分有效，实际上，Cookie似乎总是存在的。如果已将其加密并设置为在短时间后过期，则暂时的解决方法是：

设置Cookie，Apache服务器

public function upload_study() {
    
        $uploaderurl = "https://sias.dev:8443";
        $myip = $_SERVER['REMOTE_ADDR']; // https://stackoverflow.com/questions/3003145/how-to-get-the-client-ip-address-in-php
        $data = array("session_id" => session_id(),"userid" => $_SESSION['user_id'],"user_name" => $_SESSION['user_name'],"mrn" => $_POST['mrn'],"IPaddress" => $myip,"anon_normal" => "normal");
        $curlResult = (new OrthancModel())->APICall ("upload_notice",$data);
        //$data = Encryption::encrypt(json_encode($data));
        $data = json_encode($data);
        //setcookie("PACStoken",$data,time() + Config::get('SESSION_RUNTIME'),Config::get('COOKIE_PATH'),Config::get('COOKIE_DOMAIN'),Config::get('COOKIE_SECURE'),Config::get('COOKIE_HTTP'));
         setcookie("PACStoken",[
        'expires' => time() + Config::get('SESSION_RUNTIME'),'path' => Config::get('COOKIE_PATH'),'domain' => Config::get('COOKIE_DOMAIN'),'secure' => Config::get('COOKIE_SECURE'),'httponly' => Config::get('COOKIE_HTTP'),'samesite' => Config::get('COOKIE_SAMESITE'),]);
        DatabaseFactory::logVariable($curlResult);
        $link = $uploaderurl;
        echo '{"success":"done","link":"' . $link . '"}';
}

Apache服务器上的JS：

$(".uploadstudy").on("click",function(e) {

    e.preventDefault();
    $.ajax({
        type: "POST",url: '/OrthancDev/upload_study',dataType: "json",data: {mrn: $("#data-mrn").val(),"csrf_token": $("#CsrftokenAJAX").data("csrf")},context: $(this),beforeSend: function(e) {
            $("#spinner").css("display","block");
        },})
    .done(function(data,textStatus,jqXHR) {
        if(data.success) {
        $("#dynamiciframe").append($('<iframe style="width:100%;border:none;margin:0px;overflow:scroll;background-color:transparent;height: 100vh;" class="vieweroverlay-content" id="viewerframe" src="' + data.link + '"></iframe>'));
        document.getElementById("myNav").style.width = "100%";
        $("body").css("overflow","hidden");
        }
        else alert("error");
    })
    .fail(function( jqXHR,errorThrown) {
    })
    .always(function(jqXHR,textStatus) {
        $("#spinner").css("display","none");
    });
});

OpenResty Server上还有更多功能，但这是Cookie的一部分：

if (isset($_COOKIE['PACStoken'])) {

//print_r($_COOKIE['PACStoken']);
//$cookie = json_decode(Encryption::decrypt($_COOKIE['PACStoken']));
$cookie = json_decode($_COOKIE['PACStoken']);
$_SESSION['userid'] = $cookie->userid;
$_SESSION['user_name'] = $cookie->user_name;
$_SESSION['anon_normal'] = $cookie->anon_normal;
$_SESSION['mrn'] = $cookie->mrn;
$ip = $cookie->IPaddress;
$auth = true;
if ($ip != $currentip) { 
$auth = false;
}

}
else {
  $auth = false;
}

我应该说，一旦用户点击OpenResty页面，就有可能从cookie中提取数据并将其放入SESSION中。我需要该数据来验证对反向代理上资源的访问。我可以立即取消cookie的设置并使其过期。我可以尝试的。只是想知道这是否安全：

1. 使用Apache和OpenResty服务器上的密钥对Cookie进行加密。
2. 该Cookie尚未设置并立即过期。实际上，它最多可能存在几秒钟。

有一个库进行加密和解密，例如

//$data = Encryption::encrypt(json_encode($data));

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）