Как проверить, что куки пришли в ответ на кросc-доменный запрос?

Question

[Свинка Пеппа]

Всем привет.
Сваял на коленке аутентификацию со стороны фронтенда, прям вот сейчас времени внедрять jwt нет.
Суть в том, что я создаю презентацию формы авторизации через объект FormData и делаю post реквест по маршруту для авториза с параметром withCredentials: true. Все хорошо, но то что авторизация прошла успешно я понимаю только потому что дальнейшие реквесты к API работают как надо.
Вопрос, как можно отследить, что куки установились?
Сейчас чтобы поменять стейт приложения мне по идее нужно делать запрос к API. Может есть другие варианты?

Answer 1

[Roman K]

Вариантов миллион.

Если кука сессии/jwt не httpOnly, то просто смотришь на неё. По желанию, можешь смотреть на неё до запроса и после, а потом сравнивать.

Можешь сделать от бэкенда ответ на авторизацию "окей" / "не окей".

Можешь на основании дальнейших ответов от бэкенда понимать, авторизован ты или нет.

Главное — никогда не ориентируйся в браузере на клэймы JWT вроде nbf, exp, потому что у клиента может быть сбитое время настолько, что хэндшейк у TLS пройдёт, а всю твою схему обновлений сломает. Например, будет отставать на 6 минут при валидности токена 5 минут.

Comments

[Свинка Пеппа]

Спасибо за ответ:)
Во-первых, вводная была такая - по не важно каким причинам сейчас переделывать бекенд никто не будет. Т.е. подкрутить http заголовки респонза или реализовать jwt нельзя. А так да - вариантов много.
Во-вторых, когда ajax-реквест передается с параметром withCredentials: true, то куки пришедшие в ответ недоступны через document.cookie (если не подкрутить флаги в браузере). В этом вся загвоздка:) Хотелось бы чтобы оказался какой-нибудь bom метод, который я не знаю, который бы чекал все куки и сообщал, что есть следущие куки с такими вот ключами (значение, очевидно, не важно).
Похоже, придется делать дополнительные запросы.

[Roman K]

Борис Зырянов,

ajax-реквест передается с параметром withCredentials: true, то куки пришедшие в ответ недоступны

Доступны, если он ставятся на тот же домен (или вайлдкард), на котором находится клиент и у куков нет httpOnly.

[Свинка Пеппа]

Roman Kitaev, Дак запрос-то кросс-доменный...
Для не кросс-доменных в принципе не особо нужен параметр withCredentials.

[Roman K]

Борис Зырянов, Он может быть кроссдоменным с sub.example.com на anothersub.example.com, а кука JWT поставится на .example.com и будет доступна. Это твоя проблема, что ты не уточнил. Тогда только по коду ответа / самому ответу смотреть.