У меня есть конечная точка API за авторизацией, доступ к которой можно получить одним из двух способов:
- Если пользователь вошел в систему, он будет иметь jwt в своих куки, которые будут отправлены, при условии, что запрос исходит от моего домена (к которому относится повар ie).
- Пользователь также может включить jwt в свой заголовок авторизации.
У меня также есть Расширение браузера, которое обращается к этой конечной точке с любого URL на inte rnet. Из-за этого я думал о настройке access-control-allow-origin: *
, но это не сработает в случае, когда jwt отправляется в cookie-файлах, поскольку *
не позволяет включать учетные данные в запрос.
Мой текущий подход:
- Если и только если запрос является методом
OPTIONS
, ответьте access-control-allow-origin: <request origin>
- Если jwt находится в запросе куки, ответьте
access-control-allow-origin: mydomain.com
- В противном случае ответьте
access-control-allow-origin: *
Это лучший подход? Мне нужно поддерживать оба метода авторизации из-за существующей инфраструктуры. Это нормально для OPTIONS
запроса всегда отвечать с источником запроса?