yuyx 962b01d05a security: refreshToken 也存储在 HttpOnly Cookie 中 ...

## 后端修改
- 登录时同时设置 token 和 refreshToken 的 HttpOnly Cookie
- refreshToken 有效期7天，token 有效期2小时
- 刷新接口优先从 Cookie 读取 refreshToken（向后兼容请求体）
- 登出时同时清除两个 Cookie

## 前端修改
- 移除 refreshToken 变量和相关逻辑
- 简化 doRefreshToken()，不再手动传递 refreshToken
- 简化 tryRefreshOrLogout()，直接尝试刷新

## 好处
- 页面刷新后 refreshToken 不会丢失
- 完全无感刷新，用户体验更好
- 前端代码更简洁（减少约20行）
- refreshToken 也无法被 XSS 窃取

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-11-30 10:38:40 +08:00

91 KiB

Raw Blame History

View Raw