我尝试通过Oauth2和nodeJS保护我的api终点。我按照Oauth2orize的Github页面中提供的所有示例进行操作,并自定义db以检索MySQL服务器中的数据。 令牌存储在DB中,与uid的用户配置文件相关联。
最后,当我调用我的URL / api / userinfo时,我的bearer stategy没有被调用,我的控制台中没有输出(甚至是console.log)。
请在下面找到代码:
app.get('/api/userinfo', user.info);
exports.info = [
passport.authenticate('bearer', { session: false }),
function(req, res) {
// req.authInfo is set using the `info` argument supplied by
// `BearerStrategy`. It is typically used to indicate scope of the token,
// and used in access control checks. For illustrative purposes, this
// example simply returns the scope in the response.
res.json("Hello")
}
]
passport.use(new BearerStrategy({},
function(accessToken, done) {
console.log("gell");
db.accessTokens.find(accessToken, function(err, token) {
if (err) { return done(err); }
if (!token) { return done(null, false); }
db.users.find(token.userID, function(err, user) {
if (err) { return done(err); }
var info = { scope: '*' }
console.log(user.cn)
done(null, user, info);
});
});
}
));
为什么不采用这种策略的任何想法?我该如何调试这种情况?
答案 0 :(得分:1)
这一次,但我们回答:
首先,尝试命名您的策略,这就是我的工作:
passport.use('user-bearer', new BearerStrategy(
function(accessToken, done) {
jwt.verify(accessToken, config.secrets.session, (err, decoded) => {
if (err) { return done(null, false, err); }
// On future, scopes can ve taken from token.
var info = {
scope: '*'
};
done(null, decoded, info);
});
}
));
稍后,您可以验证如下:
export function isAuthenticated() {
return passport.authenticate('user-bearer', {
session: false
});
}
在我的情况下,我使用的是无状态令牌,这就是我使用jwt web令牌的原因。
此isAuthenticated函数的使用方式如下:
router.get('/', login.isAuthenticated(), controller.index);
因此,每次调用此路由时都会调用中间件。
在您的情况下,您的中间件实现可能无法在您想要的路由上正确插入。