フロントエンドアプリでサブドメインのセッションを共有するのは良い考えですか？

Question

私の会社のコードベース（モノリシックなRailsアプリケーション）を、メインアプリケーションのAPIと通信する別のReactアプリケーションに分割する作業を進めています。

元々、私はJSON Webトークンでリクエストを承認しようとしていました。しかし、その後、セッションを共有するようにRailsアプリケーションを設定できることに気付きました。だから私はReactアプリケーションを、DBを持たずに設定したRailsアプリの中に入れ、メインのアプリはセッションを共有します。主なアプリはサブドメインにあるこのアプリにユーザーをリダイレクトするので、セッションが共有されるため複雑なログインロジックについて心配する必要はありません。

これは良いアプローチではないという欠点や理由があるのか​​不思議です。

Answer 1

このトピックに関する私の謙虚なフィードバックは、以下の質問に知的に、そしてあなた自身の理解で答えようとすることでしょう。

1. どのようにレールがセッション管理のプロセスに追加されますか？すなわち、クッキーを暗号化し、そのクッキーの検証を行う。
2. このプロセスはどれくらい強いのですか？
3. サブドメインのような環境でどのようにプロセスを悪用したり、否定的に操作したりできますか？
4. どのくらいのない搾取の問題（すなわち、スケールのアプリケーションまたは潜在的に重要な財務データが何かについて学ぶためにプロトタイプを捨てる）

JD