淘宝&天猫单点登录分析

2. F12打开控制台，打开tmall.com，观察请求

3. 可以看到存在login_api的jsonp请求，该请求发送到top-tmm.taobao.com。该请求会自动携带domain为`.taobao.com`的cookie【因为SameSite为None】

4. jsonp的返回结果为taobao.com域下的cookie信息

这里的jsonp要保证是从tmall.com发送的jsonp请求

**请求头：referer: https://www.tmall.com/**【该请求头可以伪造，暂未搞懂怎么保障安全的】

另类方案：采用cors携带cookie跨域请求sso服务，请求的时候配置withCredentials：true ；同时服务器响应头配置Access-Control-Allow-Credentials：true 与 Access-Control-Allow-Origin不为*【注意：SameSite也不能为None】
详见：跨域请求携带cookie方案

淘宝&天猫单点登录分析 ​

1. 登录淘宝，获取用户信息（cookie） ​

2. F12打开控制台， 打开tmall.com，观察请求 ​

3. 可以看到存在login_api的jsonp请求，该请求发送到top-tmm.taobao.com。该请求会自动携带domain为.taobao.com的cookie【因为SameSite为None】 ​

4. jsonp的返回结果为taobao.com域下的cookie信息 ​

5. 获取到cookie信息后发送到tmall的服务后台，校验后再set cookie在tmall.com的域名下面 ​

淘宝&天猫单点登录分析

1. 登录淘宝，获取用户信息（cookie）

2. F12打开控制台，打开tmall.com，观察请求

3. 可以看到存在login_api的jsonp请求，该请求发送到top-tmm.taobao.com。该请求会自动携带domain为`.taobao.com`的cookie【因为SameSite为None】

4. jsonp的返回结果为taobao.com域下的cookie信息

5. 获取到cookie信息后发送到tmall的服务后台，校验后再set cookie在tmall.com的域名下面