JWT HttpOnly Cookie,谁设置授权header?
JWT HttpOnly Cookie, who sets the Authorization header?
所以我在前端 (ReactJS) 和后端 (Spring Boot) 之间进行 OAuth,
因为我设置了一个 cookie httpOnly,所以我的前端无法访问它。
但是现在,由于需要在每次请求时发送令牌以检查用户是否已获得授权,我们该如何处理?
例如,如果我使用 axios 发送任何请求,我如何在 header 中获取授权令牌?
嗯,你不能。如果 cookie 是 httponly,则无法将其内容添加到 Authorization header。您需要将令牌直接存储在 JS 代码中(例如,在本地存储或内存中 - 考虑到风险),或者您需要在 API 和 SPA 之间添加代理。代理将从 cookie 中提取令牌并将其放入 Authorization header.
所以我在前端 (ReactJS) 和后端 (Spring Boot) 之间进行 OAuth,
因为我设置了一个 cookie httpOnly,所以我的前端无法访问它。
但是现在,由于需要在每次请求时发送令牌以检查用户是否已获得授权,我们该如何处理?
例如,如果我使用 axios 发送任何请求,我如何在 header 中获取授权令牌?
嗯,你不能。如果 cookie 是 httponly,则无法将其内容添加到 Authorization header。您需要将令牌直接存储在 JS 代码中(例如,在本地存储或内存中 - 考虑到风险),或者您需要在 API 和 SPA 之间添加代理。代理将从 cookie 中提取令牌并将其放入 Authorization header.