認証時にstormpath expressがアクセストークンをブラウザのhttpOnlyクッキーとして設定しますが、クッキーからアクセストークンを取得して認証ヘッダーに入れる方法をAuthorization: Bearer ey..access_tokenとしますか?トークンは、私が手動でcurlを使用して要求を行ったときに機能しました。認証ヘッダーにhttpOnly Cookieとして保存されたアクセストークンを使用する方法は?
ルートに投稿すると、express-stormpathライブラリは、(JavaScript環境からのアクセスを防止することにより、XSS攻撃によって盗まれることはない)より安全なので、デフォルトでhttp-onlyクッキーを使用します。
JavaScript環境からトークンにアクセスする必要がある場合は、/oauth/tokenエンドポイントへの投稿を作成する必要があります。そうすれば、HTTP応答本文にトークンが送信されます。
このワークフローは、ここで説明されています
https://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant
私はそれに感謝だと思います! apiAuthenticationRequiredはクッキー内のアクセストークンを期待していないので、cookieを利用できるようにするにはauthenticationRequiredまたはloginRequiredを使用していたはずです。私は、apiAuthenticationRequiredはモバイルのようなブラウザ以外のクライアント認証だと思います。 – user3211198