.. _spec_server_security_cookies:

Браузерные Cookie
=====================
Поддержание контекста рабочего сеанса между клиентом (браузером) и сервером приложений Global ERP основано на передаче
Cookie-файлов, автоматически прикрепляемых к запросам и ответам (браузером и сервером, соответственно).

При работе с приложениями передаются следующие Cookie:

- ``access_token`` - содержит :term:`Токен аутентификации`.
- ``JSESSIONID`` - содержит идентификатор http-сессии по стандарту `Java EE Servlet <https://javaee.github.io/servlet-spec/>`__.
- ``GS_CLIENT_ID`` - содержит идентификатор клиентского приложения.

На безопасность передачи Cookie влияют:

- Протокол взаимодействия: http, https.

  .. seealso:: :ref:`https_configuration`

- Атрибуты Cookie-файлов: HttpOnly, Secure, SameSite.

  .. seealso:: :xsd:class:`Configuration.Security.Cookies`

Атрибут HttpOnly
-------------------
:xsd:attr:`Configuration.Security.Cookies.httpOnly`

.. warning::
   :term:`Браузерный плагин <Плагин>`, до версии ``0.19.4`` включительно, для аутентификации на сервере приложений
   использует Cookie, хранимые в браузере. Если в конфигурации сервера установить ``<cookies httpOnly="true"/>``,
   браузерный плагин не будет работать. Клиенстское приложение будет бесконечно ожидать подключения к плагину.

Атрибут Secure
-------------------
:xsd:attr:`Configuration.Security.Cookies.secure`

.. note::
   Если в конфигурации сервера установить ``<cookies secure="true"/>`` работа по протоколу ``http`` будет доступна
   только для локальных серверов с адресами ``http://localhost:{port}``.

Атрибут SameSite
-------------------
:xsd:attr:`Configuration.Security.Cookies.sameSite`