出版Sails to Kongregate,403 Forbidden

时间:2018-12-28 13:48:54

标签: javascript node.js sails.js csrf kongregate

因此,最终我的基于Sails的MMORTS游戏将发布到Kongregate。 没有什么障碍,例如连接websockets,但现在解决了。 可能的最后一个障碍是保持经过身份验证的会话。我到处都使用框架,我不知道身份验证会话如何在后台运行。
主要问题可能是CSRF或CORS。
我正在使用Sails v1.0。 因此,我先从HTML上载到kongregate。我以最简单的示例为例:

<!DOCTYPE html>
<html>
  <head>
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta charset="utf-8">

    <script src="jquery.js"></script>
    <script src='https://cdn1.kongregate.com/javascripts/kongregate_api.js'></script>

    <script src="sails.io.js"
      autoConnect="false"
      environment="production"
      headers='{ "x-csrf-token": "" }'
    ></script>

    <script type="text/javascript">
      io.sails.url = 'https://my-secret-game.com'; // or where you want
    </script>

  </head>
  <script src="main.js"></script>
</html>

这是main.js,我也将其上传到kongregate

kongregateAPI.loadAPI(function(){
  window.kongregate = kongregateAPI.getAPI();
  var username = kongregate.services.getUsername();
  var id = kongregate.services.getUserId();
  var token = kongregate.services.getGameAuthToken();

  $.get("https://my-secret-game.com/csrfToken", function (data, jwres) {

    var params = {
      username: username,
      id: id,
      token: token,
      _csrf: data._csrf
    };

    $.post("https://my-secret-game.com/kong", params, function(data, jwr, xhr){

      // cant set the cookie - because of chrome. this doesnt work
      document.cookie = document.cookie + ';authenticated=true;sails.sid=' + data.id;

      $.get("https://my-secret-game.com/csrfToken", function (data, jwres) {
        var msg = {
          testing_authentication: true,
          _csrf: data._csrf
        };
        $.post("https://my-secret-game.com/test", msg, function(data, status){
          // getting the 403 Forbidden, CSRF mismatch. trying to access 
          // the play/test route, which is protected by sessionAUTH
          console.log('data.response', data.response)
        });

      });
    });
  });
});

问题是,每当我尝试使用sessionAUTH发布我的Sails后端时,我都会被禁止使用403。我也无法设置Cookie-可能是因为Chrome。我能做什么?当我获得CSRF令牌时,在下一个请求时,我的Sails应用会响应有关CSRF不匹配的信息。变成错误的。

这是我的Sails后端服务器上的控制器

module.exports = {
  kong: function (req, res, next) {
    var url = 'https://api.kongregate.com/api/authenticate.json';
    var kong_api_key = 'my-secred-api-key';
    var params = req.allParams();
    var request = require('request');

    var req_form = {
      "api_key": kong_api_key,
      "user_id": params.id,
      "game_auth_token": params.token
    };

    request({
        url: url,
        method: "POST",
        json: true,
        body: req_form,
        timeout: 5000
    }, function (err, response, body){
       if(err) { console.log(err, 'ERR43'); return res.ok(); }
       else {
        if(!response.body.success) {
          console.log('unsuccessful login from kongregate')
          return res.ok();
        }

        // trying to use a existing user and authenticate to it
        User.find({username: 'admin-user'}).exec(function(err, users) {
          var user = users[0];
          req.session.authenticated = true;
          req.session.user = { id: user.id };

          // trying to send session_id, so that i could hold it on kongregates cookies as `sid`
          return res.send({ user: user, id: req.session.id });

        });
       }
    });
  },

somoene是否可以帮助修复我的应用程序的身份验证和CSRF?

如果需要有关我的配置的更多信息,这是config / session.js

var prefixes = 'dev';

module.exports.session = {
  secret: 'my-secret',

  cookie: {
     secure: false
  },

  adapter: 'redis',

  host: 'localhost',
  port: 6379,
  ttl: 3000000,
  db: 0,
  prefix: prefixes + 'sess:',
};

config / policies.js

module.exports.policies = {
  user: {
    'new':    'flash',
    'create': 'flash',
    'edit':   'rightUser',
    'update': 'rightUser',
    '*':      'sessionAuth'
  },
  play: {
    '*': 'sessionAuth'
  }
};

api / policies / sessionAuth.js

module.exports = function(req, res, next) {
  if (req.session.authenticated) {
    return next();
  } else {
    var requireLoginErr = [
      { name: 'requireLogin', message: 'You must be signed in' }
    ];
    req.session.flash = {
      err: requireLoginErr
    };
    res.redirect('/');
    return;
  }
};

config / security.js

module.exports.security = {
    csrf: true,
  cors: {
    allowRequestMethods: 'GET,PUT,POST,OPTIONS,HEAD',
    allowRequestHeaders: 'content-type,Access-Token',
    allowResponseHeaders: '*',
    allRoutes: true,
    allowOrigins: '*',
    allowCredentials: false,
  },
};

1 个答案:

答案 0 :(得分:0)

Okey,因为我没有答案(显然-这个问题很糟糕),所以用我自己解决的解决方案来回答-以便下次我可以阅读自己的解决方案。不知道它有多好,但至少能奏效。

Sails CORS来自Express.js,如果我允许它在配置中允许连接套接字以进行聚合。 但是它不允许通过cookie发送sails.sid(身份验证令牌)以正常方式进行身份验证。

出于安全考虑,Chrome完全不允许将带有javascript的cookie(我在Kongregate上没有后端)设置为标头。因此,如果我无法发送带有标题的cookie,Sails将无法以正常方式对请求进行身份验证。即使我允许CORS接受“ cookie”标头-浏览器也不允许使用javascript设置Cookie标头。

我可以制作一些独特的标头,例如“身份验证”,然后在其中设置sails.sid,扩展Sails的某些核心功能,以采用此新标头代替cookie标头。但是问题是-在Sails的支持下,我无法获得所有sails.sid并将其发送到我的外部前端。我如何在Sails后端上获得sails.sid?不确定-无法使用Google。

因此,我只是以一种最简单的方式进行了身份验证-在帐户登录/注册时,我自己创建了一个会话密钥-使用bcrypt哈希表user_id + secret_token(摘自Sails配置秘密)。并发送到前端{user_id:'abcd',secret_token:'a2dw412515 ...'}

我已经在Sails中制定了对每个POST / GET请求进行身份验证的策略-接收请求的session_id和user_id,然后使用bcrypt进行比较,session_id是否与加密的user_id + secret_token相同。我希望它足够安全。

所以,它奏效了。我只需要禁用CSRF。也许有一天我会再次实现它,我只需要以自己的方式编写它,而不用保留Sails的默认值。