SP
сорян весь день на улице был
Size: a a a
2020 June 04
AZ
а получает он ее из бека
тока не куку, а токен
AZ
у нас например токен в теле запроса возвращается в обычном жсон
DO
А по разному же, можно и в куке токен получать.
AZ
можно, но не нужно)
DO
и чаще не куку используют при запросе на бэк, а заголовок
Authorization: Bearer 348553475.....DO
Java, к примеру, SESSIONID в куке передаёт..
SP
ну прикол кук что они работают сами лоулевел как тцп
SP
любой вызов сервака знает что это за сессия и все
VS
чего? кука по определению в браузере хранится, ты чего дядь
А откуда она по твоему если не от бека там появляется?
DO
её можно в браузере выставить через js
DO
но есть одна тонкость :) У куки может быть атрибут httpOnly, тогда js в браузере её просто не видит
SP
её можно в браузере выставить через js
можно но не нужно. хпптонли же
SP
не видит но это ему не мешает сделать лишний вызов me например и получить жсонину со всем что он хочет
VS
её можно в браузере выставить через js
Да я просто недавно как раз такие HttpOnly куки с бека выставлял.
VS
А тут говорят что бек куки не отдаёт. Вообще-то он их в хедерах отдаёт
AZ
не видит но это ему не мешает сделать лишний вызов me например и получить жсонину со всем что он хочет
а как тогда делать имперсонейт, когда разные запросы с разными токенами летят?
DO
ага. Там еще прикол у меня был, что я в хромовой web developer консоли не видел этих кук :)
DO
А в firefox видел :)
SP
а как тогда делать имперсонейт, когда разные запросы с разными токенами летят?
не понял чет