Если авторизация пропадает при переходе на поддомен, пользователь входит на основном сайте, открывает личный кабинет, админку или сервис на поддомене и снова становится гостем.

Для SaaS, кабинетов, партнерских зон, админок и multi-domain проектов это ломает UX и создает впечатление нестабильного сервиса.

Коротко: нужно проверить домен cookies, SameSite, Secure, session storage и настройки приложения на обоих адресах.

Почему это ломается

Сессия теряется из-за cookie, привязанной только к основному домену, SameSite=Lax/Strict при нужном сценарии, отсутствия Secure на HTTPS, разных session-секретов, другого хранилища сессий, CORS-ошибок или прокси, который не передает заголовки.

Что проверяю в первую очередь

  • какие cookies установлены после входа
  • на какой domain и path они записаны
  • есть ли SameSite и Secure
  • одинаковое ли хранилище сессий у домена и поддомена
  • не блокирует ли браузер cookie при переходе

Как я это чиню

Я проверяю авторизацию через DevTools и backend: установка cookie, запрос на поддомен, чтение сессии, заголовки, CORS и прокси.

  • настраиваю cookie domain для нужной зоны
  • исправляю SameSite и Secure с учетом HTTPS
  • синхронизирую session-секреты и хранилище
  • исправляю CORS и credentials для API
  • проверяю logout и безопасность после изменений

Что подготовить перед обращением

  • основной домен и поддомен
  • где происходит вход
  • какой backend или фреймворк используется
  • скрин cookies из DevTools без секретных значений
  • описание нужного сценария перехода

Как выглядит нормальный результат

Пользователь должен входить один раз и сохранять авторизацию на нужных поддоменах, при этом cookies должны оставаться безопасными.

Чего лучше не делать

Не ставьте cookie на слишком широкий домен без необходимости. Удобство входа не должно открывать доступ тем поддоменам, которым он не нужен.

Вопросы и ответы

Почему в одном браузере работает, а в другом нет?

Браузеры по-разному строго применяют SameSite, Secure и блокировку сторонних cookies.

Можно ли сделать единую авторизацию для всех поддоменов?

Да, если правильно настроить cookie domain, session storage и безопасность поддоменов.

Что делать, если API на поддомене не видит cookie?

Проверить CORS, credentials, SameSite, Secure и домен cookie.

Почему после HTTPS авторизация сломалась?

Могли измениться требования к Secure cookies, прокси-заголовкам или URL callback-страниц.

Нужна похожая задача?

Напишите в Telegram @rabotator_support или оставьте заявку на сайте. Коротко опишите проблему, приложите ссылку, скриншот или лог ошибки, и я подскажу, с чего безопасно начать исправление.

Итог

Авторизация на поддоменах зависит от cookies и сессий. Domain, SameSite, Secure, CORS и backend-хранилище должны быть настроены как одна система.