Wysyłanie wartości ciasteczka w headerze

pytanie zadane 16 lipca 2021 w JavaScript przez Szyszka Gaduła (3,490 p.)

Witam. Mam taki problem, że przechowuję swój access token w ciasteczku httpOnly. Ale żeby się autoryzować, muszę wysłać ten token w headerze Authorization. Ale jak mam tego dokonać, skoro ciasteczko jest httpOnly i nie mogę pobrać jego wartości przez JavaScript? Może jest przeznaczony do tego jakiś nieznany mi header?

1 odpowiedź

odpowiedź 16 lipca 2021 przez Comandeer Guru (601,110 p.)
wybrane 16 lipca 2021 przez Szyszka

Najlepsza

Nie ma. Coś jest nie tak z projektem, jeśli ten sam token jest w ciasteczku, a równocześnie musisz go przesyłać w nagłówku Authorization. W takim wypadku raczej serwer powinien po prostu akceptować ciasteczko, które przyjdzie wraz z requestem.

Albo rób żądania przez swój backend. Wówczas pełniłby rolę proxy, które by dodawało odpowiednie nagłówki.

komentarz 16 lipca 2021 przez Szyszka Gaduła (3,490 p.)
edycja 16 lipca 2021 przez Szyszka

O, nie przyszło mi to na myśl. Rozwiązanie dla C#:

            services.AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultForbidScheme = JwtBearerDefaults.AuthenticationScheme;
            }).
                AddJwtBearer(options =>
                {
                    options.SaveToken = true;
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuer = true,
                        ValidateAudience = true,
                        ValidateLifetime = true,
                        ValidateIssuerSigningKey = true,
                        RequireExpirationTime = true,
                        ValidAudience = JWTConfig.ValidAudience,
                        ValidIssuer = JWTConfig.ValidIssuer,
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(JWTConfig.SecretKey)),
                        ClockSkew = TimeSpan.FromSeconds(10),
                        NameClaimType = JwtClaimTypes.NickName
                    };
                    options.Events = new JwtBearerEvents
                    {
                        OnMessageReceived = context =>
                        {
                            context.Token = context.Request.Cookies["accessToken"];

                            return Task.CompletedTask;
                        }
                    };
                });