Question

我使用this blog中的代码为我的角度应用制作验证模块。

我有一个测试页面，其中包含一个登录表单，一个提交按钮和一个＆＃34;个人资料＆＃34;将查询受限路线的按钮。

<div class="container-fluid" ng-controller="AuthCtrl as auth">
    <input type="text" ng-model="auth.user.username">
    <input type="text" ng-model="auth.user.password">
    <button ng-click="auth.login(auth.user)">LOGIN</button>
    <button ng-click="auth.profile()">PROFILE</button>
</div>

登录后我查询的限制路由定义为：

const authenticate = expressJwt({
  secret: SECRET
});
app.get('/me', authenticate, function(req, res) {
  res.status(200).json(req.user);
});

登录正常。我收到了一个我放在sessionStorage中的令牌。当我点击个人资料按钮（请求/我）时，我收到了未经授权的错误。

如果我刷新页面并再次单击配置文件，我会得到所需的行为。（/我返回没有错误的用户数据）

如果我在此之后手动删除令牌，我仍然可以访问/我，直到我刷新页面。

这是我的服务：

function loginService($http) {
    this.login = function(user) {
        return $http.post('/auth', user).then(
            function(response) {
                return response.data;
            },
            function(response) {
                return response;
            });
    };
    this.profile = function() {
        return $http.get('/me').then(
            function(response) {
                return response.data;
            },
            function(response) {
                return response;
            });
    };
}

angular
    .module('app')
    .service('loginService', loginService);

这是我的httpProvider控制器：

function AuthCtrl($window, $http, loginService) {
    this.user = {username: "", password: ""};
    this.login = function(user) {
        loginService.login(user).then(function(data) {
            $window.sessionStorage.token = data.token;
        });
    };
    this.profile = function() {
        loginService.profile().then(function(data) {
            console.log(data);
        });
    };
}

function config($httpProvider, $windowProvider) {
    var window = $windowProvider.$get();
    if(window.sessionStorage.token) {
        var token =  window.sessionStorage.token;
        $httpProvider.defaults.headers.common.Authorization = 'Bearer ' + token;
    }
};

angular
    .module('app')
    .config(config)
    .controller('AuthCtrl', AuthCtrl);

问题可能来自于在sessionStorage中存储令牌还是来自http提供程序？

最终我会实施secure cookie method，但我希望在进一步处理之前解决这个问题。

Answer 1

我终于发现它出现在$httpProvider代码中。

function config($httpProvider, $windowProvider) {
    var window = $windowProvider.$get();
    if(window.sessionStorage.token) {
        var token =  window.sessionStorage.token;
        $httpProvider.defaults.headers.common.Authorization = 'Bearer ' + token;
    }
};

在应用加载期间，提供商选项仅设置一次。重新加载页面将重新运行配置代码并按预期输入if(window.sessionStorage.token)条件。

为了使这个配置动态化，我必须像这样创建一个interceptor（工厂）：

function config($httpProvider) {
    $httpProvider.interceptors.push('authInterceptor');
};

function authInterceptor($rootScope, $q, $window) {
    return {
        request: function (config) {
            config.headers = config.headers || {};
            if ($window.sessionStorage.token) {
                config.headers.Authorization = 'Bearer ' + $window.sessionStorage.token;
            }
            return config;
        },
        responseError: function (rejection) {
            if (rejection.status === 401) {
                console.log("not authorised");
            }
            return $q.reject(rejection);
        }
    };
};

angular
    .module('app')
    .config(config)
    .controller('AuthCtrl', AuthCtrl)
    .factory('authInterceptor', authInterceptor);

身份验证：强制刷新页面进行授权

1 个答案: