cookies 定義在 RFC2109 標準。cookies 的大部分操作，由客戶端也就是瀏覽器實現。

cookies 每一個 cookie 代表著一個 key-value 鍵值對，以及作用範圍，和生命週期。

cookie 欄位定義

作用範圍(Scope): path, domain

生命週期(Life cycle)：也就是cookie的過期時間，expires (GMT,UTC) 時間標準

安全作用域(Security Scope)：HttpOnly, Secure

跨域訪問涉及 作用範圍(Scope), 安全作用域(Security Scope)

如果 你不使用 js 操作 Cookie 的話，可以忽略 安全作用域(Security Scope)。

以上可能有點 抽象，但是你可以開啟 chrome 按 F12 -> Resources -> Cookies

可以看到，類似下面這樣

以上都是感念跟廢話。重要看下面。

服務端只是 cookie 的接收者和解析者。由瀏覽器也就是客戶端決定是否要將哪些 cookies 傳送到到服務端。

而客戶端是參考標準實現 RFC2109 的話(基本都是這樣)。是根據 cookie 的 path, 和 domain 來發送。

我們假設，我們現在有兩個 domain.

• oauth2.php123.com
• www.php123.com

如果想讓 客戶端將 www.php123.com 下面的 cookie 也傳送到 oauth2.php123.com

php 庫函式 setcookie 的定義
bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] )

來個實在點的例子吧。

// oauth.php123.com/cookie.php
<?php
    setcookie("foo1"
 
, "bar1", time() + 3600, "/", "php123.com")
    setcookie("foo2", "bar1", time() + 3600) //domain 預設使用，當前domain。
    setcookie("foo3", "bar3", time() + 3600, "/", "www.php123.com")

// www.php123.com/cookie.php
<?php
    print_r($_COOKIE)

// output  array( 'foo1' => 'bar1', 'foo3'=> 'bar3' )

// 沒有拿到 ['foo2' => 'bar2']，那是因為客戶端只需將 domain 為`php123.com`,`www.php123.com`的 cookie 傳送到 www.php123.com 這個域上。所以 cookie.php 只拿到了該拿到的兩個 cookie。

以上程式碼可以很好的解釋 cookie 的工作方式。理解好 cookie 的工作及機制可以實現很多高階功能。比如分散式的 session 共享。