Lucia Auth实现跨子域会话共享的技术方案

在现代Web应用开发中，多子域架构是常见的设计模式。Lucia Auth作为一款轻量级认证库，提供了灵活的会话管理机制，能够很好地支持跨子域会话共享的需求。

核心原理

Lucia Auth的会话共享功能基于HTTP Cookie的Domain属性实现。当设置Cookie的Domain属性为顶级域名时（如.example.com），该Cookie将被所有子域（如app1.example.com、app2.example.com）共享访问。

具体实现

在Lucia Auth的配置中，可以通过sessionCookie选项进行跨域设置：

import { lucia } from "lucia";

const auth = lucia({
  sessionCookie: {
    domain: ".example.com",  // 注意前面的点号
    // 其他cookie选项...
  }
});

关键配置说明

1. domain属性：必须设置为顶级域名并以点号开头，如.example.com
2. 安全考虑：建议同时启用以下安全选项：
   • secure: true - 仅HTTPS连接
   • httpOnly: true - 防止XSS攻击
   • sameSite: "lax" - 平衡安全性和跨站请求

实际应用场景

这种配置特别适合以下场景：

• SaaS平台的多租户系统
• 微前端架构下的认证共享
• 企业内不同功能模块的子域划分

注意事项

1. 浏览器对Cookie域名的处理有严格限制，不能设置为公共后缀（如.com、.org）
2. 在本地开发时，需要配置本地域名解析模拟子域环境
3. 修改Cookie域后，现有用户需要重新登录才能生效

通过合理配置Lucia Auth的会话Cookie，开发者可以轻松构建支持跨子域认证的Web应用系统，既保持了各子域应用的独立性，又实现了用户认证状态的共享。