ベアラトークンとしてのHttponly Cookie - Laravel Passport

Question

おはようございます。

誰かが私を助けてくれることを望んでいました。 OAuthを使って初めてこれは私のために裸にしてください。

私はReact JSとLaravel 5.5を使ってアプリケーションを構築し始めました。私はLaravel Passportをインストールして、私のReact JSアプリでユーザーのログインを成功裏に管理しましたが、セキュリティ上の目的でhttponly Cookieを使用するように指示されています。

私の作業コードでは、単純にlocalStorageにアクセストークンを保存し、アキシーヘッダーのAuthorization': 'Bearer ' + tokenを使用してAPIに送信しました。これは完全に機能します。しかし、私がhttponlyを使ってクッキーを設定すると、その値をフェッチすることはできません。（正確にはポイントです！） - 反応クッキー（npmから）を使用して、コンソールにcookie.loadAll()を記録すれば、新しいXSRF-TOKENクッキーが表示されますが、私が設定したaccessTokenクッキーは表示されません。では、このトークンをAPIに送信するにはどうすればいいですか？

は、ご協力ありがとうございます:)

Answer 1

あなたがバックエンドから新しいトークンを取得し、バックエンドはレスポンスボディにトークンを送信する必要がJS、からHttpOnlyのクッキーを読み取ることができませんので。

Answer 2

ベアラトークンとしてのHttponly Cookieはあまり意味がありません。クッキーを持っていると、XSS攻撃からあなたとユーザーを保護するのに役立ちます。それらは例えばセッション情報を記憶するためのものであり、ユーザが行うときに送信される。ページリロード。

認証ヘッダーを'Bearer ' + tokenに設定することは、トークンをAPIに送信する正しい方法です。 apiサーバーでトークンを使用する前に、トークンがまだ有効かどうかを常に確認する必要があります。