好像想到問題點了…… 要保護的 client app 裡面自己也會認 cookie 的樣子，所以有可能是我 app 的 conf 設定沒跟上正式的（原本說要試的話從 test 抄過去），變成 agent 認為沒問題了，但是進到 app 又被認為沒過，導去 am，am 看看餅乾 OK，又導回 app，於是形成無止盡的循環，不知道有沒有可能是這樣，如果是的話希望我下禮拜去一改就搞定，再來就可以開始煩惱要怎麼用其他的來源 auth 了……

沒能給我個靜態的 resource 做測試真的是很麻煩……