我认为我误解了令牌的发布方式。我每次只得到403,即使它实际上是在尝试传递令牌。
这是服务器代码
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var redis = require('redis');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var ejs = require('ejs');
var csrf = require('csurf');
var util = require('./public/javascripts/utilities');
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var loginProcess = require('./public/javascripts/login.js').loginProcess;
// var loginProcess = require('./public/javascripts/login.js')
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
secret: 'secret',
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf());
app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login',
login,
loginProcess);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
登录路线是
var express = require('express');
var router = express.Router();
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login'});
next();
});
以下是我在var util
中的内容module.exports.csrf = function csrf(req, res, next){
res.locals.csrftoken = req.csrfToken();
next();
};
我也在使用ejs,并在我的表单方法='post'
之后使用它<input type="hidden" name="_csrf" value="<%= csrfToken %>>"
每当它返回403时,表单数据至少得到输入的名称
_csrf:
用户名:测试
密码产品:&gt; 9000
但正如你所看到的那样,它是空白的
我也不确定res.locals.csrftoken是否被传递到登录路由,所以我也尝试使用router.post直接添加它,但是出现了这个错误
错误:发送后无法设置标头。
我几乎每个帖子都经历过这个我能找到的帖子。我或者要么没有为我所缺少的东西建立逻辑联系,要么完全误解了某些东西。两者都是合理的,我的钱在第二个。随意做出任何一个,为什么你在世界上这样做 - 那样 - 评论,因为我很有可能是出于无知,这些评论对学习过程有好处。提前致谢。
编辑:删除我的实用程序功能并按照正确的'csurf'文档成功将csrf令牌传递给我的/ login视图。
我越来越近了,但仍然错了,但这可能会让我感到困惑。
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
next();
};
router.post('/', loginProcess);
module.exports = router;
为什么会将我重定向到404页面?
因为我在测试之前没有删除我的身份验证步骤。
另外,我知道这是发送un&amp; pw是纯文本以及csrf令牌而且没有bueno。我最终会这样做。
我做的事情是在提交用户名和密码时尝试设置标头。
错误:发送后无法设置标头。
我认为这是我的loginProcess函数,但删除next()或添加res.end();没有帮助
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
res.end();
};
编辑你不能像这样使用res.send和res.json,因为它们都是技术上发送的,你不能发送标题+正文然后再发送标题+正文。
令牌自动发送,因此我删除了res.json(req.csrfToken();
但在某些地方,我没有正确地重定向到帖子。我只是得到一个空白页面,其中包含输入的用户名和密码。
编辑
Hokay。所以一切似乎都正常。这是更新的代码。
login.js
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
var isAuth = auth(req.body.username, req.body.password, req.session)
if (isAuth){
res.redirect('/chat');
}else{
res.redirect('/login');
}
};
router.post('/', loginProcess);
router.get('/logout', out);
module.exports = router;
app.js
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var chat = require('./routes/chat');
//var loginProcess = require('./public/javascripts/login.js').loginProcess;
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
secret: 'secret',
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf({ cookie: true }));
// app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login', login);
app.use('/chat', [util.requireAuthentication], chat);
我还有很多清理工作,但它至少是功能性的。 非常感谢@Swaraj Giri
答案 0 :(得分:0)
什么是app.use(util.csrf);?猜猜你需要删除它。
来自csurf的文档,
您需要设置csrf({ cookie: true })。这会将crsf值设置为req.body._csrf。
然后您需要将{ csrfToken: req.csrfToken() }传递给登录页面的视图。
在login.js
中router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken()});
next();
});