访问受保护的路线

时间:2018-05-17 05:57:19

标签: jquery node.js ajax redirect jwt

我刚开始使用 JWT 。我执行登录,然后将令牌作为 JSON响应发送到客户端成功登录后,我将其存储到 sessionStorage ,然后我使用该令牌通过另一个 ajax调用的标头访问受保护的路径 (GET)成功时会重定向到该页面。

我首先保护直接 路线重定向,并且没有 /验证用户 路由,但由于重定向 标题 未发送,我发现此解决方案仅用于验证令牌。但是,我不知道这是否是好方法。

您怎么看?

我的登录客户端

   // Login POST 
    $('#frm-login').submit(function (e) {
        event.preventDefault()
        $('button').text('Please wait ...').prop('disabled')
        $.ajax({
            url: "/login-user",
            type: "POST",
            data: $('#frm-login').serialize(),
            dataType: "json"
        }).always(function (response) {
            $('button').text('Logging in').prop('disabled')
            console.log("Login", response)
            if (response.status == "error") {
                $('button').removeClass('lime').addClass('red').text('Log in failed. Try again.');
                return
            }
            localStorage.setItem('token', response.token);
            console.log(localStorage.token)
            $.ajax({
                type: "GET",
                url: "/verify-user",
                headers: {
                    'Authorization': 'Bearer ' + localStorage.token
                }
            }).always(function (response) {
                console.log("Access", response)
                if (response.status == "error") {
                    $('button').removeClass('lime').addClass('red').text('Log in failed. Try again.');
                    return
                }
                if (response.status == 301) {
                    $(location).attr('pathname', '/LIMELine/chatroom/');
                    //$('img#profile-img').attr('src', response.responseText.authData.user.avatar)
                    console.log(response)
                }
            });
        })
    })

我的登录服务器

/********************* LOGIN *********************/

app.post('/login-user', (req, res) => {
    user.loginUser(req.body, (err, jResult) => {
        if (err) {
            return res.send(jResult)
        }
        let token = jwt.sign({
            user: jResult,
        }, "supersecret")
        console.log(token);
        return res.json({
            token: token
        })
        //add other headers here...
    })
})

/********************* VERIFY USER *********************/

app.get('/verify-user', verifyToken, (req, res) => {

    jwt.verify(req.token, "supersecret", (err, authData) => {
        if (err) {
            return res.status(403).json({
                message: "No token found"
            });
        }
        return res.status(301).json({
            authData
        });
    })
})

受保护路由,用户登录时应看到

// *********************   MAIN PAGE *********************************************

app.get('/LimeLINE/chatroom' (req, res) => {
            try {
            // CODE FOR CONTENT OF THE PAGE
            return res.json({
                authData
            });
        }
    })
})

1 个答案:

答案 0 :(得分:0)

如果要进行整页重定向(不是通过ajax,而是通过浏览器自动进行,例如单击未经回火的锚标记),浏览器将不会自动发送Authorization HTTP标头。

您可以使用cookie开始发送JWT令牌(这不太标准,并且将客户端绑定为浏览器,但会在所有完整页面和AJAX调用上自动发生)或通过ajax调用自行处理重定向。 另一个“混合”解决方案是将Authorization标头AND cookie作为有效授权方法启用。

IMO一切都取决于您的服务器当前或不久将接受非浏览器客户端。

相关问题
最新问题