Cześć pisze aplikacje w Angularze. Jako iż chce zadbać o bezpieczeństwo aplikacji wysyłam HTTP only cookie. Z tego co widziałem github rownież chyba tak robi.
Ale do sedna, mój cookie będzie odczytywany tylko przy pomocy HTTP wiec nie moge wZiac mojej wartości przy pomocy $cookies. A niezbędne jest mi aby requesty http interceptor brał wartość z cookies. Wiece moze jak temu zaradZic?
Przeglądarka zrobi to automatycznie. Wysłanie requesta z JS na domenie na której ma ciastka spowoduje, że te ciastka zostaną dodane do żądania.
Edit: tu więcej: http://stackoverflow.com/questions/27972/how-do-httponly-cookies-work-with-ajax-requests
Wczesniej robilem standardowa operacje.
module.factory('myInterceptor', ['$q', '$cookie', function($q, $cookie) {
var requestInterceptor = {
request: function(config) {
if($cookie.get("key"){
config.headers.Authorization = 'Bearer ' + $cookie.get('key'); //1
}
return config;
};
return requestInterceptor;
}]);
Ale nie jestem w stanie wziac tej wartosci przy uzyciu http only. Czyli operacja zaznaczona jedynka nie jest juz potrzebna, tak? Czyli bede musial pobrac automatycznie cookie w backendzie tak?
No nie jesteś, zgodnie z nazwą. Po prostu odczytaj tak jak zawsze ciastko po stronie backendu i tyle.
Ok, dzieki za odpowiedz. Ale mam jeszcze jedno pytanie. Jesli chodzi o bezpieczenstwo. Lepiej przechowywac informacje w localstorage czy w cookiesach przy pomocy http only? Bo wydaje mi sie ze to drugie rozwiazanie jest lepsze.
Zależy jakie informacje. Sesję/logowanie w ciastkach. Jakieś dane bez większego znaczenia i które są duże - w localStorage.