在进行身份验证时,stormpath express 将访问令牌设置为浏览器中的 httpOnly cookie,但是如何从 cookie 中获取访问令牌以将其放入授权标头中Authorization: Bearer ey..access_token?当我使用 curl 手动执行请求时,令牌有效。
问问题
798 次
1 回答
2
express-stormpath库默认使用 http-only cookie,当您发布到/login路由时,它们更安全(通过阻止来自 JavaScript 环境的访问,它们不会被 XSS 攻击窃取)。
如果您需要从 JavaScript 环境访问令牌,您应该向/oauth/token端点发送一个帖子,您将在 HTTP 响应正文中收到令牌。
此处描述了此工作流程:
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant
于 2016-11-30T05:03:14.290 回答