我的 PHP api 要求我的前端 Backbone 应用程序的每个请求都提交一个用户令牌,以确保用户...
在 Backbone 中进行设置的最简单方法是什么?我猜唯一的方法是覆盖 Backbone.sync,但代码会是什么样子?首选 CoffeeScript。
还有两件事
1./login如果我得到一个,我想将用户重定向到403: Access Forbidden Error
2. 当应用程序启动时,我从 localStorage 中提取包含令牌的用户模型
3. 我有一个 baseModel 和 baseCollection,所有模型/集合都来自
Backbone 使用 jQuery 的$.ajax,因此您可以使用$.ajaxSetup来“为未来的 Ajax 请求设置默认值”:
$.ajaxSetup({
headers: {
"accept": "application/json",
"token": YOUR_TOKEN
}
});
更新:对这个想法的改进(感谢@Glen)是使用$.ajaxSend每次在请求标头中设置令牌之前检查是否存在令牌:
$(document).ajaxSend(function(event, request) {
var token = App.getAuthToken();
if (token) {
request.setRequestHeader("token", token);
}
});
其中 App.getAuthToken() 是 Backbone 应用程序中的一个函数。
你可以这样做:
var _sync = Backbone.sync;
Backbone.sync = function(method, model, options) {
if( model && (method === 'create' || method === 'update' || method === 'patch') ) {
options.contentType = 'application/json';
options.data = JSON.stringify(options.attrs || model.toJSON());
}
_.extend( options.data, {
"access_token": "some-token"
});
return _sync.call( this, method, model, options );
}
只需监听 fetch/save 方法的失败事件即可将用户重定向到/login
model.fetch().fail( /* redirect */ )
身份验证是应用程序的责任。
对于 Backbone 应用程序,身份验证逻辑应该在 Backbone 代码中,并且应该不惜一切代价避免更改全局 jQuery 的行为。ajax
ajaxSetup或的缺点ajaxSend来自 jQuery 文档ajaxSetup:
注意:此处指定的设置将影响对所有调用
$.ajax或基于 Ajax 的派生类的调用,例如$.get(). 这可能会导致不良行为,因为其他调用者(例如插件)可能期望正常的默认设置。因此,我们强烈建议不要使用此 API。相反,请在调用中明确设置选项或定义一个简单的插件来执行此操作。
ajaxSend和上面提到的有同样的问题。它的唯一优势ajaxSetup是每次都调用一个函数,比传递给ajaxSetup.
AuthModel和AuthCollection将身份验证逻辑放入基本模型和集合中。这是范围最广的解决方案。
在这里,您可以使用您已经存在的BaseModel,但我仍然倾向于将 与 分开,BaseModel因为AuthModel您可能希望创建一个自定义模型,该模型使用您的基本模型,但也使用不同的外部 API。
由于模型和集合的新sync函数相似,但两者可能有不同的父实现,我做了一个简单的函数生成器。
/**
* Generates a new sync function which adds the token to the request header
* and handles a redirect on error.
* @param {Function} syncFn the parent `sync` function to call.
* @return {Function} a new version of sync which implements the auth logic.
*/
var authSyncFunction = function(syncFn) {
return function(method, model, options) {
options = options || {};
var beforeSend = options.beforeSend,
error = options.error;
_.extend(options, {
// Add auth headers
beforeSend: function(xhr) {
xhr.setRequestHeader('Authorization', "Bearer " + yourTokenHere);
if (beforeSend) return beforeSend.apply(this, arguments);
},
// handle unauthorized error (401)
error: function(xhr, textStatus, errorThrown) {
if (error) error.call(options.context, xhr, textStatus, errorThrown);
if (xhr.status === 401) {
Backbone.history.navigate('login');
}
}
});
return syncFn.call(this, method, model, options);
};
};
在模型和集合上使用生成器。
var AuthModel = BaseModel.extend({
sync: authSyncFunction(BaseModel.prototype.sync)
});
var AuthCollection = BaseCollection.extend({
sync: authSyncFunction(BaseCollection.prototype.sync)
});
然后您就可以在您确定需要身份验证的模型和集合上使用它们了。由于您已经在使用基本模型和集合,因此只需BaseModel.extend将AuthModel.extend.
虽然我知道您要求对403 Forbidden响应进行重定向,但我认为它应该在401 Unauthorized. 请参阅403 Forbidden 与 401 Unauthorized HTTP 响应
sync如果您此时不想更改所有模型和集合,但仍想遵循良好实践并避免更改全局 ajax 设置,则覆盖该Backbone.sync函数是一个简单的选择。
使用我们之前定义的sync生成器:
Backbone.sync = authSyncFunction(Backbone.sync);
要管理本地存储中的数据,请检查Backbone-session。
这是一个很好的 Backbone 模型实现,它与本地存储而不是 REST API 同步。它还提供了一个很好的界面来管理身份验证。
// Extend from Session to implement your API's behaviour var Account = Session.extend({ signIn: function () {}, signOut: function () {}, getAuthStatus: function () {} }); // Using the custom Account implementation var session = new Account(); session.fetch() .then(session.getAuthStatus) .then(function () { console.log('Logged in as %s', session.get('name')); }) .fail(function () { console.log('Not yet logged in!'); });
Backbone.$.ajaxSetup({
headers: { 'sid': 'blabla' }
});