如果用户发送的标记未过期,但该特定用户不再存在,Guardian仍允许用户访问控制器。
我在{:ok, nil}中添加了current_user.ex,它只是取消了我认为不正确的连接,因为我需要像错误一样回复用户。我不确定我应该在那里使用什么?
这是我的路由器:
pipeline :authed_api do
plug :accepts, ["json"]
plug Guardian.Plug.VerifyHeader, realm: "Bearer"
plug Guardian.Plug.EnsureAuthenticated, handler: Web.GuardianErrorHandler
plug Guardian.Plug.LoadResource
plug Web.CurrentUser, handler: Web.GuardianErrorHandler
end
scope "/api/v1", Web do
pipe_through :authed_api
get "/logout", UserController, :logout
resources "/users", UserController
get "/*get", ErrorController, :handle_redirect
end
这是我的current_user
defmodule Web.CurrentUser do
import Plug.Conn
import Guardian.Plug
import Web.GuardianSerializer
def init(opts), do: opts
def call(conn, _opts) do
current_token = Guardian.Plug.current_token(conn)
case Guardian.decode_and_verify(current_token) do
{:ok, claims} ->
case Web.GuardianSerializer.from_token(claims["sub"]) do
{:ok, nil} ->
conn = Plug.Conn.halt(conn) # <-this line, I was referring to
{:ok, user} ->
Plug.Conn.assign(conn, :current_user, user)
{:error, _reason} ->
conn
end
{:error, _reason} ->
conn
end
end
end
提前谢谢。
答案 0 :(得分:1)
它只会终止连接
这是因为您在halt上仅呼叫conn。您需要在暂停前发送回复。以下是如何使用“禁止”文本发送403 Forbidden响应:
{:ok, nil} ->
conn |> send_resp(403, "Forbidden") |> Plug.Conn.halt()