几个小时以来，我一直在尝试在我的应用程序中实现一些身份验证组件，但我仍然不明白正在发生的一些事情。

基本上，我想发送一个POST request包含一些credentials到我的API，cookie如果凭据有效，它会向我发送一个带有令牌的回。然后，cookie 应该包含在所有未来对我的 API 的请求的标头中（我认为这是自动的）。

server.js（我的 API 现在是一个模型，带有 JSON 文件）

...
app.post('/api/login', jsonParser, (req, res) => {
  fs.readFile(ACCOUNTS_FILE, (err, data) => {
    if (err) {
      console.error(err);
      process.exit(1);
    }

    const accounts = JSON.parse(data);
    const credentials = {
      email: req.body.email,
      password: req.body.password,
    };
    var token = null;

    for (var i = 0; i < accounts.length; ++i) {
      const account = accounts[i];

      if (account.email === credentials.email
      && account.password === credentials.password) {
        token = account.token;
        break;
      }
    }

    if (token) {
      res.setHeader('Set-Cookie', `access_token=${token}; Secure; HttpOnly;`);
      res.json({ token });
    } else {
      res.json({ token: null });
    }
  });
});
...

应用程序.js

...
handleConnection(e) {
    e.preventDefault();

    const email = this.state.email.trim();
    const password = this.state.password.trim();
    if (!email && !password) {
      return (false);
    }

    fetch(loginUrl, {
      method: 'POST',
      headers: {
        Accept: 'application/json',
        'Content-Type': 'application/json',
        credentials: 'include',
      },
      body: JSON.stringify(this.state),
    })
    .then((response) => response.json())
    .then((data) => {
      console.log(data);
    })
    .catch((error) => {
      console.warn(error);
    });

    return (true);
  }
...

现在console.log(data)总是显示我的令牌（如果我的凭据错误，则为 null），但 cookie 的事情不起作用......

看，我收到了Set-Cookie标题，但我的页面上仍然没有 cookie。

即使我设法获取了 cookie，当我尝试使用创建 cookiedocument.cookie = "access_token=123";然后再次发送请求时，我的 cookie 也不会像使用 jQuery Ajaxcall 那样进入我的标头：

我在这里读到添加credentials: 'include'可以节省一天，但不幸的是它没有。

我在这里错过了什么？

提前致谢！