[오류] 쿠키 하위 도메인이 달라 전달되지 않는 오류

문제 상황

하위 도메인(api.weddingmate.co.kr)에서 상위 도메인(weddingmate.co.kr)으로 쿠키를 보내야 하는 상황

ResponseCookie.from("refreshToken", refreshToken)
.path("/")
.domain("weddingmate.co.kr") 
.maxAge(TimeUnit.MILLISECONDS.toSeconds(refreshTokenValidationTime))
.secure(true)
.sameSite("None")
.httpOnly(true)
.build();

 

발생 원인

Redis에 저장된 refreshToken 값(1)과 쿠키에 담아서 전달되는 refreshToken 값(2)이 다름
쿠키 전달 과정에서 문제가 있을 것으로 파악

    public ResponseCookie generateRefreshTokenCookie(String email) {

        String refreshToken = tokenProvider.createRefreshToken(email);
        Long refreshTokenValidationTime = tokenProvider.getRefreshTokenValidationMs();

                // (1)
        redisService.setData("RefreshToken:" + email, refreshToken, refreshTokenValidationTime);

               // (2)
        return ResponseCookie.from("refreshToken", refreshToken)
            .path("/") // 해당 경로 하위의 페이지에서만 쿠키 접근 허용. 모든 경로에서 접근 허용한다.
            .domain(".weddingmate.co.kr")
            .maxAge(TimeUnit.MILLISECONDS.toSeconds(refreshTokenValidationTime)) // 쿠키 만료 시기(초). 없으면 브라우저 닫힐 때 제거
            .secure(true) // HTTPS로 통신할 때만 쿠키가 전송된다.
            .sameSite("None") // 크로스 사이트에도 쿠키 전송 가능
            .httpOnly(true) // JS를 통한 쿠키 접근을 막아, XSS 공격 등을 방어하기 위한 옵션이다.
            .build();
    }

 

해결 방법

도메인 앞에 .을 붙여 모든 서브도메인 간에 쿠키가 공유되도록 함

ResponseCookie.from("refreshToken", refreshToken)
.path("/")
.domain(".weddingmate.co.kr") //
.maxAge(TimeUnit.MILLISECONDS.toSeconds(refreshTokenValidationTime))
.secure(true)
.sameSite("None")
.httpOnly(true)
.build();

만약 서브도메인 간에 쿠키 공유가 필요하지 않다면 도메인을 weddingmate.co.kr로 설정하여 현재 도메인에만 쿠키를 사용