在身份验证时,stormpath express将访问令牌设置为浏览器中的httpOnly cookie,但是如何从cookie中获取访问令牌以将其作为Authorization: Bearer ey..access_token置于授权标头中?当我使用curl手动执行请求时,令牌工作。
答案 0 :(得分:2)
默认情况下express-stormpath库使用仅限http的Cookie,因为它们更安全(通过阻止JavaScript环境访问),它们不会被XSS窃取攻击)。
如果您需要从JavaScript环境访问令牌,您应该向/login端点发帖,您将收到HTTP响应正文中的令牌。
此工作流程如下所述:
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant