如何在身份验证 header 中使用保存为 httpOnly cookie 的访问令牌?
How to use access token that was saved as httpOnly cookie in authentication header?
身份验证后,stormpath express 在浏览器中将访问令牌设置为 httpOnly cookie,但如何从 cookie 获取访问令牌以将其置于授权 header 中作为 Authorization: Bearer ey..access_token?当我使用 curl 手动执行请求时,令牌有效。
当您 post 到 /login 路由时,express-stormpath 库默认使用仅限 http 的 cookie,因为它们更安全(通过阻止来自 JavaScript 环境,它们不能被 XSS 攻击窃取。
如果您需要从 JavaScript 环境访问令牌,您应该向 /oauth/token 端点创建一个 post,您将在 HTTP 响应正文中收到令牌.
此处描述了此工作流:
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant
身份验证后,stormpath express 在浏览器中将访问令牌设置为 httpOnly cookie,但如何从 cookie 获取访问令牌以将其置于授权 header 中作为 Authorization: Bearer ey..access_token?当我使用 curl 手动执行请求时,令牌有效。
当您 post 到 /login 路由时,express-stormpath 库默认使用仅限 http 的 cookie,因为它们更安全(通过阻止来自 JavaScript 环境,它们不能被 XSS 攻击窃取。
如果您需要从 JavaScript 环境访问令牌,您应该向 /oauth/token 端点创建一个 post,您将在 HTTP 响应正文中收到令牌.
此处描述了此工作流:
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant