security: refreshToken 也存储在 HttpOnly Cookie 中

## 后端修改 - 登录时同时设置 token 和 refreshToken 的 HttpOnly Cookie - refreshToken 有效期7天，token 有效期2小时 - 刷新接口优先从 Cookie 读取 refreshToken（向后兼容请求体） - 登出时同时清除两个 Cookie ## 前端修改 - 移除 refreshToken 变量和相关逻辑 - 简化 doRefreshToken()，不再手动传递 refreshToken - 简化 tryRefreshOrLogout()，直接尝试刷新 ## 好处 - 页面刷新后 refreshToken 不会丢失 - 完全无感刷新，用户体验更好 - 前端代码更简洁（减少约20行） - refreshToken 也无法被 XSS 窃取 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-30 10:38:40 +08:00
parent d05e3a22f1
commit 962b01d05a
2 changed files with 30 additions and 32 deletions
--- a/backend/server.js
+++ b/backend/server.js
@@ -1652,13 +1652,23 @@ app.post('/api/login',

      // 增强Cookie安全设置
      const isSecureEnv = process.env.COOKIE_SECURE === 'true';
-      res.cookie('token', token, {
+      const cookieOptions = {
        httpOnly: true,
        secure: isSecureEnv,
-        // HTTPS环境使用strict，HTTP环境使用lax（开发环境兼容）
        sameSite: isSecureEnv ? 'strict' : 'lax',
-        maxAge: 2 * 60 * 60 * 1000, // 2小时（与access token有效期一致）
-        path: '/'  // 限制Cookie作用域
+        path: '/'
+      };
+
+      // 设置 access token Cookie（2小时有效）
+      res.cookie('token', token, {
+        ...cookieOptions,
+        maxAge: 2 * 60 * 60 * 1000
+      });
+
+      // 设置 refresh token Cookie（7天有效）
+      res.cookie('refreshToken', refreshToken, {
+        ...cookieOptions,
+        maxAge: 7 * 24 * 60 * 60 * 1000
      });

      // 记录登录成功日志
@@ -1667,8 +1677,6 @@ app.post('/api/login',
      res.json({
        success: true,
        message: '登录成功',
-        token,
-        refreshToken,  // 返回refresh token
        expiresIn: 2 * 60 * 60 * 1000,  // 告知前端access token有效期（毫秒）
        user: {
          id: user.id,
@@ -1694,9 +1702,10 @@ app.post('/api/login',
  }
 );

-// 刷新Access Token
+// 刷新Access Token（从 HttpOnly Cookie 读取 refreshToken）
 app.post('/api/refresh-token', (req, res) => {
-  const { refreshToken } = req.body;
+  // 优先从 Cookie 读取，兼容从请求体读取（向后兼容）
+  const refreshToken = req.cookies?.refreshToken || req.body?.refreshToken;

  if (!refreshToken) {
    return res.status(400).json({
@@ -1720,21 +1729,21 @@ app.post('/api/refresh-token', (req, res) => {
    httpOnly: true,
    secure: isSecureEnv,
    sameSite: isSecureEnv ? 'strict' : 'lax',
-    maxAge: 2 * 60 * 60 * 1000, // 2小时
+    maxAge: 2 * 60 * 60 * 1000,
    path: '/'
  });

  res.json({
    success: true,
-    token: result.token,
    expiresIn: 2 * 60 * 60 * 1000
  });
 });

 // 登出（清除Cookie）
 app.post('/api/logout', (req, res) => {
-  // 清除认证Cookie
+  // 清除所有认证Cookie
  res.clearCookie('token', { path: '/' });
+  res.clearCookie('refreshToken', { path: '/' });
  res.json({ success: true, message: '已登出' });
 });