兄弟我太懂这种卡了六小时的崩溃感了！先给你梳理下几个大概率的问题点，你对照着排查试试：

1. 本地HTTP环境下，Secure属性直接导致Cookie被浏览器忽略 #

看你的响应头里的Set-Cookie，带了Secure属性——但这个属性的要求是只有HTTPS协议传输的Cookie才会被浏览器存储，而你本地用的是http://localhost:3000和http://localhost:5173（都是HTTP），浏览器直接就把这个Cookie丢了！

这绝对是最可能的元凶！本地开发时直接去掉Secure配置，等上线到HTTPS环境再加回来就行。

2. 确认后端CORS的配置没有踩坑 #

你没贴具体的CORS代码，但要保证这几个关键点：

• 不能把origin设为*，因为当withCredentials: true时，CORS的origin必须是明确的前端地址（http://localhost:5173）
• 必须开启credentials: true

Express的CORS配置应该像这样：

const corsOptions = {
  origin: 'http://localhost:5173',
  credentials: true,
};
app.use(cors(corsOptions));

3. 后端Cookie的SameSite配置要和环境匹配 #

如果是本地HTTP环境，SameSite=None必须和Secure一起用，但你没法用Secure，所以本地开发时把SameSite设为Lax就够了；生产HTTPS环境再设为None并搭配Secure。

比如Express里的res.cookie配置：

res.cookie('student', token, {
  path: '/',
  httpOnly: true,
  // 生产环境才开启Secure
  secure: process.env.NODE_ENV === 'production',
  // 本地用Lax，生产用None
  sameSite: process.env.NODE_ENV === 'production' ? 'None' : 'Lax',
  maxAge: 43200000 // 对应你设置的过期时间
});

4. 确保Axios的withCredentials真的生效了 #

虽然你说配置了实例，但要确认所有请求都用了这个实例，别不小心用了原生的axios发请求——那样withCredentials的配置就没生效。举个正确的用法：

const axiosInstance = axios.create({
  baseURL: 'http://localhost:3000/api',
  headers: { 'Content-Type': 'application/json' },
  withCredentials: true,
});

// 登录请求必须用这个实例
await axiosInstance.post('/auth/login', { username, password });

5. 检查浏览器的隐私设置 #

有些浏览器默认开启了“阻止第三方Cookie”，本地跨域请求的Cookie会被当成第三方Cookie拦截。你可以临时去浏览器设置里允许所有Cookie（比如Chrome里搜chrome://settings/cookies，选“允许所有Cookie”），测试通过后再改回来。

先从去掉Secure属性开始试，这是本地开发跨域Cookie最容易踩的坑！如果还是不行，把你的后端CORS和Cookie生成的具体代码贴出来，大家再帮你抠细节。

内容来源于stack exchange