zitare-native

History

Till JS 58eb2807c7 fix(auth): CookieBridge SameSite=None + Cross-Domain-Kommentar CookieBridge ist immer noch Skeleton (no-op currentAccessToken), aber das Cookie-Setup wird vor ζ-3 scharf. Zwei Korrekturen: 1. Domain `.mana.how` ist tatsächlich korrekt für app.zitare.com: der Cookie wird vom WebView an XHR-Ziele auf .mana.how mitgesendet (auth.mana.how/refresh), unabhängig vom Source-Page-Host. Gleicher Flow wie im Web-Client. Vorheriger „bricht cross-domain"-Kommentar war falsch. 2. SameSite=Lax → "None" — mana-auth setzt für Cross-Subdomain-SSO sameSite='none' (better-auth.config.ts:320). Ohne None wird der Cookie bei Cross-Origin-POST nicht versendet. Foundation hat keine .sameSiteNone-Konstante, akzeptiert aber Roh-Strings für .sameSitePolicy. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-20 15:09:23 +02:00
..
CookieBridge.swift	fix(auth): CookieBridge SameSite=None + Cross-Domain-Kommentar	2026-05-20 15:09:23 +02:00

Till JS 58eb2807c7 fix(auth): CookieBridge SameSite=None + Cross-Domain-Kommentar

CookieBridge ist immer noch Skeleton (no-op currentAccessToken), aber
das Cookie-Setup wird vor ζ-3 scharf. Zwei Korrekturen:

1. Domain `.mana.how` ist tatsächlich korrekt für app.zitare.com:
   der Cookie wird vom WebView an XHR-Ziele auf .mana.how mitgesendet
   (auth.mana.how/refresh), unabhängig vom Source-Page-Host. Gleicher
   Flow wie im Web-Client. Vorheriger „bricht cross-domain"-Kommentar
   war falsch.

2. SameSite=Lax → "None" — mana-auth setzt für Cross-Subdomain-SSO
   sameSite='none' (better-auth.config.ts:320). Ohne None wird der
   Cookie bei Cross-Origin-POST nicht versendet. Foundation hat keine
   .sameSiteNone-Konstante, akzeptiert aber Roh-Strings für
   .sameSitePolicy.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-20 15:09:23 +02:00

CookieBridge.swift

fix(auth): CookieBridge SameSite=None + Cross-Domain-Kommentar

2026-05-20 15:09:23 +02:00