我正在开发一个 web 应用程序，它实际上由两个应用程序组成。一个应用程序被调用account并处理与用户帐户相关的所有事情，例如帐户的身份验证、注册和管理。我还有一个应用程序，我们将调用web.

问题是使用 SSL/TLSaccount在https://account.domain.com上侦听，而 web 在http://www.domain.com 上侦听。

哪些选项我有一个让人们登录和验证account.domain.com，然后将其重定向到www.domain.com哪里他们实际上然后登录。据我所知，你不能设置上的cookie account.domain.com，然后有它的工作domain.com，因为这将成为安全隐患。

关于我的应用程序的一些背景细节：

1. 用 Go 编程语言编写。

2. 将 Gorilla Toolkit 用于大多数 HTTP/HTTPS 接口、URL 路由和处理 POST/GET 参数。

3. 两个应用程序都位于同一个虚拟服务器上。

我正在寻找的是一种安全的方式来验证和管理跨所有子域和实际域的会话domain.com。我不是特别精通这个主题，所以除了设置 cookie 之外，我知道的不多。