18

我有我认为一个特定的问题,除非我没有以正确的方式做事。

我有一个应用程序有两个方面,一个客户端(html 站点)和一个 API(使用 express + mongodb 构建)。API 需要被安全访问。他们都在不同的域上,现在假设我的网站在 domain.com 上,我的 API 在 api.com:3000 上。

当我使用他们的数据创建用户时,我添加了护照以从 Github 获取访问令牌,因此我基本上可以拥有“使用 Github 登录”。

我目前的流程是:

1) 客户端(站点),在 API 上打开一个弹出窗口

window.open("http://api.com:3000/oauth")

2)快递服务器,启动护照进程:

app.get('/oauth', passport.authenticate('github'), function(req, res) {

});

对于策略,我使用了这段代码

3)我将回调重定向到关闭弹出窗口的url(带有window.close()的javascript):

app.get('/oauth/callback', passport.authenticate('github', { failureRedirect: '/' }), function(req, res) {
    res.redirect('/auth_close');
});

到那时,一切都很好,我现在登录了 API。我的问题是如何将数据返回给客户端,因为客户端对 accessToken、用户或用户 ID 一无所知。

因此,从客户端(打开弹出窗口的站点),我尝试了不同的方法:

  • 从弹出窗口中获取值:由于重定向而不起作用,我忘记了弹出窗口的 javascript 信息

  • 调用我的 API 来获取会话中的“当前用户”,例如http://api.com:3000/current 再请求一个,不理想,但这一个有效。但是,我仍然有一个问题。

如果我从浏览器访问此 /current url,它将返回用户,因为浏览器在标头中发送快速会话 cookie:

Cookie:connect.sid=s%3AmDrM5MRA34UuNZqiL%2BV7TMv6.Paw6O%2BtnxQRo0vYNKrher026CIAnNsHn4OJdptb8KqE

问题是我需要从 jquery 或类似的请求中发出这个请求,这就是它失败的地方,因为没有发送会话。所以用户没有返回:

app.get('/current', function() {
    // PROBLEM HERE, req.user is undefined with ajax calls because of the session!
});

我找到了一种让它工作的方法,但我不满意,因为我会遇到跨浏览器的 CORS 问题,它正在添加以表达:

res.header("Access-Control-Allow-Credentials", "true");

并在 jquery ajax 调用中添加 withCredentials 字段,如此所述。

要在本机 XHR 对象上设置的 fieldName-fieldValue 对的映射。例如,如果需要,您可以使用它为跨域请求设置 withCredentials 为 true。

$.ajax({
   url: a_cross_domain_url,
   xhrFields: {
      withCredentials: true
   }
});

我对此也不满意,因为我丢失了标题上的通配符:Access-Control-Allow-Origin,我需要指定一个域,如此所述。

所以,我不确定我应该在这里采取的方法,我唯一需要的是客户端从护照 oauth 过程中获取 accessToken 或 userID。这个想法是在每次调用 API 时使用该令牌来验证调用。

有什么线索吗?

4

2 回答 2

13

我遇到过同样的问题。我在登录页面上使用本地策略,然后检查用户是否在其他请求的会话中。

正如您所说,解决方案是使用 CORS 以便使用 XMLHTTPRequest 在 cookie 中传递会话 ID。

我决定在其他请求上使用访问令牌,而不是使用尚未在所有浏览器上工作的 CORS。我使用的工作流程如下:

POST /login
  • 用户名和密码在正文中传递。
  • 使用本地策略进行身份验证。
  • 响应返回用户对象,包括 access_token

获取 /endpoint/abc123?access_token=abcdefg

  • 从登录响应中获取的令牌
  • 使用承载策略进行身份验证(在 passport-http-bearer 中)

Express 中现在不需要会话。

我希望这种替代方法有所帮助。

于 2013-01-23T16:00:15.300 回答
1

在快速应用程序中配置任何内容之前,请使用以下(完全相同)设置跨域响应的标头:

app.use(function(req, res, next) {
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept');
if ('OPTIONS' == req.method) {
     res.send(200);
 } else {
     next();
 }
});
于 2013-11-26T13:52:20.430 回答