3b745836bd
Some checks are pending
CI / validate (push) Waiting to run
mana-auth's /api/v1/auth/login schluckt das Set-Cookie der signedSession
(es nutzt die Cookie nur intern um den JWT zu minten) — der Browser
bekommt nur einen JSON-Body ohne Cookie. Damit funktioniert der spätere
/refresh-Endpoint, der auf Cookie-Auth basiert, nicht.
Two-step-Login:
1. POST /api/auth/sign-in/email (Better-Auth-native) — setzt das
__Secure-mana.session_token Cookie auf Domain=.mana.how. Liefert
User-Profil im Body.
2. POST /api/v1/auth/refresh mit credentials:include → accessToken.
Effekt: spätere Auto-Refreshs, Cross-App-SSO und 401-Retries laufen
korrekt. Memo für die Plattform-Seite: /api/v1/auth/login könnte das
Set-Cookie weiterreichen — dann wäre der zweite Call überflüssig.
Heute: aktiver Workaround.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
|
||
|---|---|---|
| .. | ||
| api | ||
| web | ||