基本Auth和JWT

时间:2016-01-19 19:30:47

标签: node.js authentication nginx basic-authentication jwt

我目前正在运行一个Node.js应用程序,其中包含API和文件服务(我知道nginx可以处理它,但我最初不应该使用它。)

我只是简单地使用它来进行简单的基本身份验证,而这恰好不是那么简单。

这是我的nginx配置:

  upstream nodejsapp {
    server 127.0.0.1:1337;
    keepalive 15;
  }

  server {
    listen 80 default_server;

    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;
    proxy_redirect off;

    location / {
      proxy_pass http://nodejsapp;

      proxy_set_header Connection "Keep-Alive";
      proxy_set_header Proxy-Connection "Keep-Alive";
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header Host $http_host;
      proxy_set_header X-NginX-Proxy true;
    }
  }

/etc/nginx/.htpasswd文件只是user:encryptedpassword并且很好。

使用此配置,当我转到我的IP时:

  • 问我用户和密码
  • 开始加载页面
  • (有时)再次询问用户和密码
  • 完成加载页面

到目前为止一切都那么好,即使它要求两次密码。

Node.js应用程序具有JWT身份验证,当我登录时,网站重新加载,并且从这里开始,无限期地询问用户和密码(基本身份验证),只要我点击登录。 JWT在我的本地存储中。如果我在基本身份验证提示上单击取消,则会删除JWT并且我已注销,并且...再次询问基本身份验证。

这是在Chrome上。使用Firefox和Safari,在JWT日志记录之后,它会自动从本地存储中删除令牌(并且我已经注销)。

很难解释,我无法向您展示该网站。简而言之,主要问题是删除了(node.js应用程序的)JWT。

1 个答案:

答案 0 :(得分:6)

当我意识到问题是Basic Auth和JWT之间的冲突(正如@Curious在推荐中所建议的那样),以及它们都使用Authorization标题时,解决方案很容易。

我将前端应用程序配置为通过自定义标头**JWTAuthorization**发送JWToken,因此当请求到达服务器时,它包含标头Authorization和& JWTAuthorization。然后它非常简单,在基本身份验证通过后,我只是替换标题(这里是Node.js应用程序,基于Koa):

app.use(function *(next) {
  this.headers.authorization = this.headers.jwtauthorization;
  yield next;
});