security: refreshToken 也存储在 HttpOnly Cookie 中

## 后端修改 - 登录时同时设置 token 和 refreshToken 的 HttpOnly Cookie - refreshToken 有效期7天，token 有效期2小时 - 刷新接口优先从 Cookie 读取 refreshToken（向后兼容请求体） - 登出时同时清除两个 Cookie ## 前端修改 - 移除 refreshToken 变量和相关逻辑 - 简化 doRefreshToken()，不再手动传递 refreshToken - 简化 tryRefreshOrLogout()，直接尝试刷新 ## 好处 - 页面刷新后 refreshToken 不会丢失 - 完全无感刷新，用户体验更好 - 前端代码更简洁（减少约20行） - refreshToken 也无法被 XSS 窃取 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-30 10:38:40 +08:00
parent d05e3a22f1
commit 962b01d05a
2 changed files with 30 additions and 32 deletions
--- a/frontend/app.js
+++ b/frontend/app.js
@@ -10,8 +10,7 @@ createApp({
      // 用户状态
      isLoggedIn: false,
      user: null,
-      token: null,
-      refreshToken: null,
+      token: null,  // 仅用于内部状态跟踪，实际认证通过 HttpOnly Cookie
      tokenRefreshTimer: null,

      // 视图状态
@@ -527,8 +526,7 @@ handleDragLeave(e) {
        const response = await axios.post(`${this.apiBase}/api/login`, this.loginForm);

        if (response.data.success) {
-          this.token = response.data.token;
-          this.refreshToken = response.data.refreshToken;
+          // token 和 refreshToken 都通过 HttpOnly Cookie 自动管理
          this.user = response.data.user;
          this.isLoggedIn = true;
          this.showResendVerify = false;
@@ -1002,7 +1000,6 @@ handleDragLeave(e) {
      this.isLoggedIn = false;
      this.user = null;
      this.token = null;
-      this.refreshToken = null;
      this.stopTokenRefresh();
      localStorage.removeItem('user');
      localStorage.removeItem('lastView');
@@ -1086,12 +1083,11 @@ handleDragLeave(e) {

    // 尝试刷新token，失败则登出
    async tryRefreshOrLogout() {
-      if (this.refreshToken) {
-        const refreshed = await this.doRefreshToken();
-        if (refreshed) {
-          await this.checkLoginStatus();
-          return;
-        }
+      // refreshToken 通过 Cookie 自动管理，直接尝试刷新
+      const refreshed = await this.doRefreshToken();
+      if (refreshed) {
+        await this.checkLoginStatus();
+        return;
      }
      this.handleTokenExpired();
    },
@@ -1102,7 +1098,6 @@ handleDragLeave(e) {
      this.isLoggedIn = false;
      this.user = null;
      this.token = null;
-      this.refreshToken = null;
      this.stopTokenRefresh();
      localStorage.removeItem('user');
      localStorage.removeItem('lastView');
@@ -1130,18 +1125,12 @@ handleDragLeave(e) {
      }
    },

-    // 执行token刷新（通过 refreshToken 刷新 HttpOnly Cookie 中的 access token）
+    // 执行token刷新（refreshToken 通过 HttpOnly Cookie 自动发送）
    async doRefreshToken() {
-      if (!this.refreshToken) {
-        console.log('[认证] 无refresh token，无法刷新');
-        return false;
-      }
-
      try {
        console.log('[认证] 正在刷新access token...');
-        const response = await axios.post(`${this.apiBase}/api/refresh-token`, {
-          refreshToken: this.refreshToken
-        });
+        // refreshToken 通过 Cookie 自动携带，无需手动传递
+        const response = await axios.post(`${this.apiBase}/api/refresh-token`);

        if (response.data.success) {
          // 后端已自动更新 HttpOnly Cookie 中的 token