인증시 stormpath express는 브라우저에서 httpOnly 쿠키로 액세스 토큰을 설정하지만 쿠키에서 액세스 토큰을 얻어 승인 헤더에 넣을 수있는 방법은 Authorization: Bearer ey..access_token
입니까? 토큰은 컬을 사용하여 수동으로 요청을했을 때 작동했습니다.인증 헤더에 httpOnly 쿠키로 저장된 액세스 토큰을 사용하는 방법은 무엇입니까?
0
A
답변
2
경로에 게시 할 때 express-stormpath 라이브러리는 기본적으로 http 전용 쿠키를 사용합니다.이 쿠키는 JavaScript 환경으로부터의 액세스를 차단하여 XSS 공격으로 도난 당할 수 없으므로보다 안전합니다.
JavaScript 환경에서 토큰에 액세스해야하는 경우 /oauth/token
엔드 포인트에 대한 게시물을 만들어야하며 HTTP 응답 본문에 토큰을 받게됩니다.
이 워크 플로는 여기에 설명되어 있습니다 :
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant
은 내가 그것을 감사를 찾은 것 같아! apiAuthenticationRequired가 쿠키의 액세스 토큰을 기대하지 않기 때문에 쿠키를 사용할 수 있으려면 authenticationRequired 또는 loginRequired를 사용해야합니다. apiAuthenticationRequired는 모바일과 같은 브라우저가 아닌 클라이언트 인증입니다. – user3211198