Как использовать токен доступа, который был сохранен как httpOnly cookie в заголовке аутентификации?

При аутентификации Stormpath Express устанавливает токен доступа как cookie httpOnly в браузере, но как я могу получить токен доступа из куки, чтобы поместить его в заголовок авторизации как Authorization: Bearer ey..access_token? Токен работал, когда я выполнял запрос вручную с помощью curl.

1 ответ

Решение

Библиотека express-stormpath по умолчанию использует файлы cookie только для http, когда вы публикуете /login маршрут, поскольку они более безопасны (предотвращая доступ из среды JavaScript, они не могут быть украдены атаками XSS).

Если вам нужен доступ к токенам из среды JavaScript, вы должны сделать сообщение на /oauth/token конечная точка, и вы получите токены в теле ответа HTTP.

Этот рабочий процесс описан здесь:

https://docs.stormpath.com/nodejs/express/latest/authentication.html

Другие вопросы по тегам