我正在设置服务器,并希望在登录后用JWT响应用户。我现在正在使用通行证,但在这种情况下不知道如何实施验证。
这是登录路径:
app.route('/login')
.get(users.renderLogin)
.post(users.auth);
用户登录后,我向他的令牌发送了一些信息:
exports.auth = function (req, res, next){
passport.authenticate('local', {session: false}, (err, user, info) => {
if (err) { return next(err); }
console.log(err);
if (!user) { return res.redirect('/login'); }
req.logIn(user, function(err) {
if (err) { return next(err); }
// Loged in
const userInfo = {
username: user.username,
name: user.name,
age: user.age,
groupid: user.groupid,
email: user.email,
}
const token = jwt.sign(userInfo, process.env.JWT_SEC);
res.json({
user,
token
})
// res.redirect('/');
});
})(req, res, next);
};
在那之后,我需要在每个用户调用中验证JWT令牌。有人有提示吗?
谢谢
答案 0 :(得分:3)
来自passport:
Passport的唯一目的是对请求进行身份验证,它通过一组称为策略的可扩展插件来完成。
此外,passport-local:
本地身份验证策略使用用户名和密码对用户进行身份验证。该策略需要验证回调,该回调接受这些凭据和提供给用户的调用。
因此,护照的本地策略将仅对通过提供的username
和password
发出的请求进行身份验证。因此,客户端每次要访问应用程序时都必须发送这些凭据。
因此,要使用Web令牌对请求进行身份验证,您需要提供一个设置JWT的登录过程。 (然后,客户端将只需要发送令牌,而不必每次都存储和传输明确的密码)
要这样做,npm上有很多软件包。我个人使用并推荐jsonwebtoken
假设您拥有
这样的用户模型const UserSchema = new mongoose.Schema({
email: {
type: String,
unique: true,
required: true,
maxlength: 254,
trim: true,
match: /(?:[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(?:(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(?:(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9]))\.){3}(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9])|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])/
// Ref : RFC 5322 compliant regex
// Visualizer : https://regexper.com/#(%3F%3A%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B(%3F%3A%5C.%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B)*%7C%22(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21%5Cx23-%5Cx5b%5Cx5d-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)*%22)%40(%3F%3A(%3F%3A%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%5C.)%2B%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%7C%5C%5B(%3F%3A(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D))%5C.)%7B3%7D(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D)%7C%5Ba-z0-9-%5D*%5Ba-z0-9%5D%3A(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21-%5Cx5a%5Cx53-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)%2B)%5C%5D)
// SFSM : https://en.wikipedia.org/wiki/Finite-state_machine
// Xcrowzz' note : Seems to work for 99.99% of email addresses, containing either local, DNS zone and/or IPv4/v6 addresses.
// Xcrowzz' note : Regex can be targeted for Catastrophic Backtracking (https://www.regular-expressions.info/catastrophic.html) ; See https://www.npmjs.com/package/vuln-regex-detector to check them before someone DDOS your app.
},
password: {
type: String,
required: true,
minlength: 8,
maxlength: 254,
select: false
},
username: {
type: String,
required: false,
unique: true,
maxlength: 254
}
});
module.exports = mongoose.model('User', UserSchema);
现在,是时候实现JWT生成和签名了,当用户成功登录时应该完成。aka,当主体请求中提供的username
和password
与数据库匹配时(不要忘记将清除密码与使用bcrypt.compare
存储的哈希进行比较)
const jwt = require('jsonwebtoken');
[...]
exports.logUser = async (req, res) => {
if (!req.body.email || !req.body.password) { return res.status(400).send('Bad Request');}
else {
await UserModel.findOne({ email: req.body.email }, async (err, user) => {
if (err) return res.status(500).send('Internal Server Error');
if (!user) return res.status(404).send('Not Found');
let passwordIsValid = await bcrypt.compare(req.body.password, user.password);
if (passwordIsValid) {
let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 }); // 24 Hours
return res.status(200).send({ auth : true, token: token });
} else {
return res.status(404).send('Not Found');
}
}).select('+password'); // Overrides model's 'select:false' property of the password model's property in order to compare it with given plaintext pwd.
}
};
let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 });
基于id
和先前定义的secret
创建令牌,该令牌应该是一个非常长且随机的字符串,令牌的整体完整性和安全性可能会受到损害弱secret
。
这是JWT的最基本配置,一些研究将证明您该代码尚未投入生产。但就您而言,就可以解决问题。
最后,您必须设计身份验证中间件,该中间件将提供的令牌与先前签名的令牌进行比较。再次使用secret
进行比较。
const secret = (process.env.TokenSuperSecret) ?
process.env.TokenSuperSecret : 'SuperSecret';
const jwt = require('jsonwebtoken');
const passport = require('passport');
const CustomStrategy = require('passport-custom');
passport.use('jwt', new CustomStrategy(async (req, callback, err) => {
const token = req.headers['x-access-token'];
if (!token) return callback(err);
await jwt.verify(token, secret, (err, decoded) => {
if (err) return callback(err);
req.userId = decoded.id;
callback(null, req);
});
}));
exports.isAuthenticated = passport.authenticate('jwt', {
session: false
}, null);
jwt.verify(token, secret, (err, decoded) => {}
返回包含decoded userId
的承诺(您在登录过程中使用jwt.sign
进行了编码)。随时将其传递给您的中间件,以了解当前正在执行请求的用户。
这么久了,感谢所有的鱼!