這是一個很好的/安全的方式來設置服務器端Cookie從客戶端

Question

我正在與一個單一的應用程序框架叫reactjs，我遇到的問題是設置httpOnly cookie，因爲他們不能從客戶端設置/讀取我需要弄清楚如何使用快遞。我想出了

一個想法是做一個POST請求像/cookie:data的路線，其中的數據是令牌的價值需要被存儲在cookie中，因此：

app.post('/cookie:data', function(req, res) { 
    // Set cookie here 
    res.send(200) 
}) 

的問題，我很猶豫該令牌是否包含用於保護API的唯一用戶標識符，並且我不確定我是否通過這種方式設置cookie來公開此信息。的

或者不使用:data將是有益弄清楚如何從POST請求獲取數據（JSON對象）

編輯：我能想到的 一個問題是，任何人都可以發佈到這條路線和設置不同的餅乾？什麼是保護它的方法？

編輯2： 這是快速設置我使用代理API調用（僅用於澄清評論相關）

app.use('/api', function (req, res) { 
    let url = config.API_HOST + req.url 
    req.pipe(request(url)).pipe(res) 
    }) 

Answer 1

說你要代理的所有請求開始/api到三階除了/api/users，你想執行'手動'，因爲它會返回你需要的令牌：

app.post('/api/users', function(req, res) { 
    let url  = config.API_HOST + req.url; 
    let apiRequest = request.post(url, function(err, response, body) { 
    // Responses are just examples, you should tailor them to your situation 
    if (err) { 
     return res.sendStatus(500); 
    } else if (response.statusCode !== 200) { 
     return res.sendStatus(response.statusCode); 
    } else { 
     res.cookie('token', body).send('OK'); 
    } 
    }); 
    req.pipe(apiRequest); 
}) 

app.use('/api', function (req, res) { 
    let url = config.API_HOST + req.url 
    req.pipe(request(url)).pipe(res) 
})