Как использовать токен доступа, который был сохранен как httpOnly cookie в заголовке аутентификации?
При аутентификации Stormpath Express устанавливает токен доступа как cookie httpOnly в браузере, но как я могу получить токен доступа из куки, чтобы поместить его в заголовок авторизации как Authorization: Bearer ey..access_token
? Токен работал, когда я выполнял запрос вручную с помощью curl.
1 ответ
Библиотека express-stormpath по умолчанию использует файлы cookie только для http, когда вы публикуете /login
маршрут, поскольку они более безопасны (предотвращая доступ из среды JavaScript, они не могут быть украдены атаками XSS).
Если вам нужен доступ к токенам из среды JavaScript, вы должны сделать сообщение на /oauth/token
конечная точка, и вы получите токены в теле ответа HTTP.
Этот рабочий процесс описан здесь:
https://docs.stormpath.com/nodejs/express/latest/authentication.html