iven c2aff09811 feat(security): Auth Token HttpOnly Cookie — XSS 安全加固 ...

后端:
- axum-extra 启用 cookie feature
- login/register/refresh 设置 HttpOnly + Secure + SameSite=Strict cookies
- 新增 POST /api/v1/auth/logout 清除 cookies
- auth_middleware 支持 cookie 提取路径（fallback from header）
- CORS: 添加 allow_credentials(true) + COOKIE header

前端 (admin-v2):
- authStore: token 仅存内存，不再写 localStorage（account 保留）
- request.ts: 添加 withCredentials: true 发送 cookies
- 修复 refresh token rotation bug（之前不更新 stored refreshToken）
- logout 调用后端清除 cookie 端点

向后兼容: API 客户端仍可用 Authorization: Bearer header
Desktop (Ed25519 设备认证) 完全不受影响

2026-03-30 19:30:42 +08:00

..

zclaw-growth

feat(runtime): DeerFlow 模式中间件链 Phase 1-4 全部完成

2026-03-29 23:19:41 +08:00

zclaw-hands

feat: P0 KernelClient功能修复 + P1/P2/P3质量改进

2026-03-30 10:55:08 +08:00

zclaw-kernel

fix(security): P0 审计修复 — 6项关键安全/编译问题

2026-03-30 13:32:22 +08:00

zclaw-memory

chore: 提交所有工作进度 — SaaS 后端增强、Admin UI、桌面端集成

2026-03-29 10:46:41 +08:00

zclaw-pipeline

refactor: 依赖健康度改进 — serde_yaml 迁移 + workspace 统一声明

2026-03-30 18:23:13 +08:00

zclaw-protocols

chore: 提交所有工作进度 — SaaS 后端增强、Admin UI、桌面端集成

2026-03-29 10:46:41 +08:00

zclaw-runtime

feat: Batch 5-9 — GrowthIntegration桥接、验证补全、死代码清理、Pipeline模板、Speech/Twitter真实实现

2026-03-30 09:24:50 +08:00

zclaw-saas

feat(security): Auth Token HttpOnly Cookie — XSS 安全加固

2026-03-30 19:30:42 +08:00

zclaw-skills

feat: P0 KernelClient功能修复 + P1/P2/P3质量改进

2026-03-30 10:55:08 +08:00

zclaw-types

feat: P0 KernelClient功能修复 + P1/P2/P3质量改进

2026-03-30 10:55:08 +08:00