我是Node.js开发的新手,目前正在空闲时间开展宠物项目。
到目前为止,我已使用passport和passport-jwt为策略创建了JWT身份验证,我在所有RESTful API中都使用它。
现在我想把它与某种Facebook身份验证混合在一起仍然希望坚持使用令牌身份验证。
目前,这就是我生成和获取令牌的方式:
exports.authenticate = function(req, res) {
User.findOne({
email: req.body.email
}, function(err, user) {
if (err)
return res.status(400).send(getErrorMessage(err));
if (!user) {
res.status(400).send({
success: false,
message: 'Authentication failed. User not found.'
});
} else {
if (user.checkPassword(req.body.password)) {
let token = jwt.encode(user, config.secretPhrase);
res.json({
success: true,
token: 'JWT ' + token
});
} else {
res.status(401).send({
success: false,
message: 'Authentication failed. Wrong password.'
});
}
}
});
};
app.route('/api/users/authenticate')
.post(user.authenticate);
要验证我执行以下操作:
let user = require('../../app/controllers/user-controller');
app.route('/api/todos')
.get(user.validateLogin, todos.list)
.post(user.validateLogin, todos.create);
用户控制器:
exports.validateLogin = passport.authenticate('jwt', {
session: false
});
任何人都可以建议一种巧妙的方法来混合这两种策略?我应该使用express-jwt吗? express-jwt和passport-jwt之间的区别是什么?
答案 0 :(得分:1)
您可以像使用passport-jwt一样使用passport-facebook新策略,这样您就可以将Facebook用户令牌保存在数据库中并返回令牌
答案 1 :(得分:0)
看起来好像目前您正在将令牌发回给最终用户。你是如何拯救那个客户端的?我建议使用像jsonwebtoken这样的简单JWT库,并将令牌设置为httpOnly cookie。如果您当前将其保存在localStorage中,则可能更容易受到XSS攻击。 以下是我目前正在处理如何为用户设置和检查JWT的要点: https://gist.github.com/briancw/8c2021817c3bd34972e8e8deb6048a4f