Node Express passport (JWT) - 授权后回调
Node express passport (JWT) - callback after auth
我使用 passport JWT 进行身份验证,但我在 运行回调 function/response 时遇到困难,仅当 用户通过身份验证时。如何做到这一点?
在我的路线中:
import express from 'express';
import passport from '../../config/passport';
import memberInfoCtrl from '../controllers/memberInfo';
const router = express.Router();
router.route('/members')
.get(membersCtrl.tokenCheck, passport.authenticate('jwt', { session: false }), membersCtrl.doSomethingElse);
export default router;
如果身份验证成功,我希望 membersCtrl.doSomethingElse 为 运行。
这是我的 tokenCheck 函数:
function tokenCheck(req, res, next) {
const token = getToken(req.headers);
if (token) {
const decoded = jwt.decode(token, config.secret);
User.findOne({
email: decoded.email
}, (err, user) => {
if (err) throw err;
if (!user) {
return res.status(403).send({
success: false, msg: 'Authentication failed. User not found.'
});
}
// res.json({ success: true, msg: 'Welcome to the member area!' });
return next();
});
} else {
return res.status(403).send({ success: false, msg: 'No token provided.' });
}
}
在 tokenCheck 中使用 res.json 工作正常,但之后 doSomethingElse 函数没有被调用。
我以为是因为我们发送了这样的回复:
res.json({ success: true, msg: 'Welcome to the member area!' });
将 res.json 替换为 return next(); returns 错误:
Error: Unknown authentication strategy \"jwt\"
为什么会发生这种情况 - 我如何才能在执行另一个功能之前检查身份验证,对于同一路由?
我确定我错过了一些愚蠢的东西。感谢您的帮助!
这是我初始化护照的主要快速脚本的一部分:
import passport from 'passport';
...
app.use(passport.initialize());
app.use('/api', routes);
...
护照配置:
const JwtStrategy = require('passport-jwt').Strategy;
import User from '../server/models/user';
import config from './env';
module.exports = (passport) => {
const opts = {};
opts.secretOrKey = config.secret;
passport.use(new JwtStrategy(opts, (jwtPayload, done) => {
User.findOne({ id: jwtPayload.id }, (err, user) => {
if (err) {
return done(err, false);
}
if (user) {
done(null, user);
} else {
done(null, false);
}
});
}));
};
您的总体做法是正确的。要根据某些条件保护路由,请编写自定义中间件调用 next()(如果满足这些条件)。
但在您的情况下,这不是必需的,因为 passport-jwt 就是这样做的。因此,假设您正确配置了 passport and passport-jwt,您需要编写的是:
router.route('/members')
.get(passport.authenticate('jwt', { session: false }), membersCtrl.doSomethingElse);
passport-jwt 将从请求中提取 JWT,并根据您提供的秘密或密钥对其进行验证。之后它将使用 passport 的 verify 回调来填充 req.user (source).
此外:是的,在使用 res.json() 后会发送一个响应,这就是为什么在这种情况下无法到达您的护照中间件和其他任何东西的原因。
关于您的错误 Error: Unknown authentication strategy \"jwt\":如果您没有正确配置护照身份验证,通常会发生这种情况。如果您将它包含在您的问题中,我会看一下并相应地扩展我的答案。
更新: 你的代码看起来不错,除了一件事:你没有在你的 passport-jwt 选项中指定 jwtFromRequest 属性,这是强制性的。或者您是否偶然忘记调用您的护照配置?
更新 2: 关于我在下面的评论的进一步说明:
1.) 导入您的 ES6 通行证配置模块(您在其中添加了 jwtFromRequest option) 在你的主要 express 脚本中并调用它:
import passport from 'passport';
import passportConfig from 'path/to/passport/config';
...
app.use(passport.initialize());
passportConfig(passport);
...
2.) 确保删除你的 tokenCheck 功能,你不需要它。请参阅此答案的第一部分。
更新 3: 'Unauthorized' 很棒,因为这意味着您现在已成功保护您的 /members 路线。要实施基于令牌的身份验证,您现在需要一个额外的路由 /authenticate,用户可以在其中请求访问您的 Web 服务,例如通过提供凭据(您的路由将验证这些凭据并使用 JWT 进行响应,该 JWT 必须使用您用于 passport-jwt 的相同秘密进行签名 - 否则 passport-jwt 稍后将无法验证令牌签名) .
但这超出了这个问题的范围。应该有很多资源涵盖这一点。例如,您可以使用 jsonwebtoken which is shown in this article 实现 /authenticate 路由(他们根本不使用 passport,而是使用 jsonwebtoken 来创建令牌 和 验证)。
注意:如果您还实现了客户端,则必须在其中包含一些额外的逻辑来存储 JWT 并将其包含在您对 Express 应用程序的请求中。
我使用 passport JWT 进行身份验证,但我在 运行回调 function/response 时遇到困难,仅当 用户通过身份验证时。如何做到这一点?
在我的路线中:
import express from 'express';
import passport from '../../config/passport';
import memberInfoCtrl from '../controllers/memberInfo';
const router = express.Router();
router.route('/members')
.get(membersCtrl.tokenCheck, passport.authenticate('jwt', { session: false }), membersCtrl.doSomethingElse);
export default router;
如果身份验证成功,我希望 membersCtrl.doSomethingElse 为 运行。
这是我的 tokenCheck 函数:
function tokenCheck(req, res, next) {
const token = getToken(req.headers);
if (token) {
const decoded = jwt.decode(token, config.secret);
User.findOne({
email: decoded.email
}, (err, user) => {
if (err) throw err;
if (!user) {
return res.status(403).send({
success: false, msg: 'Authentication failed. User not found.'
});
}
// res.json({ success: true, msg: 'Welcome to the member area!' });
return next();
});
} else {
return res.status(403).send({ success: false, msg: 'No token provided.' });
}
}
在 tokenCheck 中使用 res.json 工作正常,但之后 doSomethingElse 函数没有被调用。
我以为是因为我们发送了这样的回复:
res.json({ success: true, msg: 'Welcome to the member area!' });
将 res.json 替换为 return next(); returns 错误:
Error: Unknown authentication strategy \"jwt\"
为什么会发生这种情况 - 我如何才能在执行另一个功能之前检查身份验证,对于同一路由?
我确定我错过了一些愚蠢的东西。感谢您的帮助!
这是我初始化护照的主要快速脚本的一部分:
import passport from 'passport';
...
app.use(passport.initialize());
app.use('/api', routes);
...
护照配置:
const JwtStrategy = require('passport-jwt').Strategy;
import User from '../server/models/user';
import config from './env';
module.exports = (passport) => {
const opts = {};
opts.secretOrKey = config.secret;
passport.use(new JwtStrategy(opts, (jwtPayload, done) => {
User.findOne({ id: jwtPayload.id }, (err, user) => {
if (err) {
return done(err, false);
}
if (user) {
done(null, user);
} else {
done(null, false);
}
});
}));
};
您的总体做法是正确的。要根据某些条件保护路由,请编写自定义中间件调用 next()(如果满足这些条件)。
但在您的情况下,这不是必需的,因为 passport-jwt 就是这样做的。因此,假设您正确配置了 passport and passport-jwt,您需要编写的是:
router.route('/members')
.get(passport.authenticate('jwt', { session: false }), membersCtrl.doSomethingElse);
passport-jwt 将从请求中提取 JWT,并根据您提供的秘密或密钥对其进行验证。之后它将使用 passport 的 verify 回调来填充 req.user (source).
此外:是的,在使用 res.json() 后会发送一个响应,这就是为什么在这种情况下无法到达您的护照中间件和其他任何东西的原因。
关于您的错误 Error: Unknown authentication strategy \"jwt\":如果您没有正确配置护照身份验证,通常会发生这种情况。如果您将它包含在您的问题中,我会看一下并相应地扩展我的答案。
更新: 你的代码看起来不错,除了一件事:你没有在你的 passport-jwt 选项中指定 jwtFromRequest 属性,这是强制性的。或者您是否偶然忘记调用您的护照配置?
更新 2: 关于我在下面的评论的进一步说明:
1.) 导入您的 ES6 通行证配置模块(您在其中添加了 jwtFromRequest option) 在你的主要 express 脚本中并调用它:
import passport from 'passport';
import passportConfig from 'path/to/passport/config';
...
app.use(passport.initialize());
passportConfig(passport);
...
2.) 确保删除你的 tokenCheck 功能,你不需要它。请参阅此答案的第一部分。
更新 3: 'Unauthorized' 很棒,因为这意味着您现在已成功保护您的 /members 路线。要实施基于令牌的身份验证,您现在需要一个额外的路由 /authenticate,用户可以在其中请求访问您的 Web 服务,例如通过提供凭据(您的路由将验证这些凭据并使用 JWT 进行响应,该 JWT 必须使用您用于 passport-jwt 的相同秘密进行签名 - 否则 passport-jwt 稍后将无法验证令牌签名) .
但这超出了这个问题的范围。应该有很多资源涵盖这一点。例如,您可以使用 jsonwebtoken which is shown in this article 实现 /authenticate 路由(他们根本不使用 passport,而是使用 jsonwebtoken 来创建令牌 和 验证)。
注意:如果您还实现了客户端,则必须在其中包含一些额外的逻辑来存储 JWT 并将其包含在您对 Express 应用程序的请求中。