因此,已经有一个通过改变“登录”并返回身份验证令牌作为响应的一部分进行身份验证的示例 - 有没有人知道我可以如何使用安全 cookie 来代替?如果可以的话,我真的非常喜欢使用它,因为它是防止会话被我的中继应用程序上的 XSS 攻击劫持的额外障碍。我正在使用 Akka HTTP。
到目前为止我的想法:
- 在查询执行期间将上下文上的令牌值设置为可变值,然后在
map调用中将其取出(坏) - 如示例中那样在响应上设置令牌,然后在
map调用中修改响应以删除身份验证令牌并将其设置为 cookie(不太糟糕,但不是很好)。
有没有比我没想到的更好的东西?