我一直试图解决这个问题好几天。 我按照Auth0文档中的教程进行了操作。
用express-jwt解码令牌后
export let headerJWTCheck = expressJwt({
secret: '*************************',
audience: '******************************'
});
req.user的内容没有API中角色限制所需的配置文件和角色。
相反,内容采用以下形式:
{ iss: 'https://******.eu.auth0.com/',
sub: 'google-oauth2|***********************',
aud: '********************',
exp: **************,
iat: **************}
在前端,我已经获得了我需要的用户个人资料信息,但我无法超越这一点。
我正在使用一个函数来限制角色:
export function requireRole(role: string) {
return function (req, res, next) {
console.log(req.user);
var appMetadata = req.user.profile._json.app_metadata || {};
var roles = appMetadata.roles || [];
if (roles.indexOf(role) != -1) {
next();
} else {
res.redirect('/unauthorized');
}
}
但req.user.profile始终未定义。
在主要的快递应用程序定义中,我有:
app.use(cookieParser());
app.use(session({
.................
}));
configurePassport();
app.use(passport.initialize());
app.use(passport.session());
答案 0 :(得分:1)
express-jwt库正在根据请求中包含的令牌内容初始化req.user。
如果您需要req.user级别的信息,您需要include that information directly on the token或者在运行角色检查之前进行req.user的充实。例如,您可以通过运行基于req.user声明(用户标识符)获取角色的其他代码来丰富sub。
答案 1 :(得分:0)
解决方案是在auth0-lock配置中添加以下代码:
auth: {
params: {
scope: 'openid app_metadata roles'
}
}
解码令牌后,将app_metadata和roles数组添加到 req.user 。