在现代项目中使用 Rails + Devise + React

正在考虑为一个项目尝试 Rails + 设计 + React。不过好像 这种方法目前没有很好的记录/支持。理想状态是：

• 仅 Rails API 模式
• 由 rails/devise 处理的授权。用户点击登录端点并设置一个包含 JWT
的 httpOnly cookie
• Omniauth 支持（使用 google、facebook 等登录）。
• Graphql 会很好添加，但这只会让事情变得更加复杂

我的问题是：今天是否有针对此类方法的文档/指南？我能找到的最接近以这种方式处理身份验证的方法是 https://github.com/waiting-for-dev/devise-jwt，前提是将 jwt 作为标头发送，这在网络上可能不安全。

关于将 JWT 放入 cookie 的设计，我唯一能找到的是 here，它使用了 devise-jwt-cookie（一个 5 星库，需要分叉以添加缺失的功能）。

Web 应用程序的现代方法似乎是确保 JWT 在 httpOnly cookie 中以防止 xss 攻击，但是在带有 React 的 Rails 环境中实现这一点似乎非常复杂/没有得到很好的支持。我是不是把这里的方法复杂化了，还是 Rails 不应该以这种方式使用？