Тема: Чи обов'язково серверне печиво повинно бути HttpOnly ?
Вітаю.
З самого початку я використовував JWT для автентифікації користувачів на сервері.
Тобто, при логіні користувача, сервер відправляв токен, котрий зберігався в localStorage клієнта, і коли клієнту треба було відправити якийсь запит, то він також відправляв той токен, а сервер вже перевіряв, чи той токен валідний, і якщо так, то все ок.
Тепер я замінив JWT на сесію, котра використовує куклуси, тобто куки, тобто печиво, ну, кукєзи.
Працює воно ось так:
Коли клієнт логіниться, сервер перевіряє, чи такий користувач існує в БД, і якщо так, то до хедерів відповіді сервера додається Set-Cookies з кукізами, котрі з себе представляють унікальний текстовий рядок.
Коли ця відповідь приходить до клієнта, то воно зберігається в cookies самим браузером, і наступні запити до сервера місцять ті куки в хедері, але я якось хочу зрозуміти на клієнті - коли клієнта залогінений, а коли ні.
Для цього я хотів би мати змогу перевірити, чи є у нас якісь куки, але коли я намагаюсь прочитати їх, то мені не показуються ті куки, котрі прийшли з серверу.
Я помітив, що ці куки мають прапорець HttpOnly, і виявляється, що через це вони недоступні для читання на стороні клієнта.
Так от я думаю, чи це мені треба просто зкидувати цей прапорець ще на сервері, перед відправленням їх клієнту, чи так робити дуже погано, і я щось роблю зовсім неправильно?
