0

我正在使用 Auth0 身份验证保护 socket.io 服务。在服务器上,我做了以下事情:

app.configure(feathers.socketio(function(io) {
  if(process.env.JWT_AUTH == 'disable' && app.get('env') !== 'production') {
    console.log('*** JWT_AUTH disabled: Free passes today ***');
  } else {
    io.use(socketioJwt.authorize({
      secret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'),
      audience: process.env.AUTH0_CLIENT_ID,
      handshake: true
    }));
  }
  io.on('connection', function(socket) {
    socket.emit('news', { hello: 'world' });
    socket.on('my other event', function (data) {
      console.log(data);
    });
  });
}));

为了从客户端传递带有 socket.io 的令牌,我这样做:

var io = require('socket.io-client');
var TOKEN_EXPIRATION_IN_SECONDS = 3600;

var createToken = require('auth0-api-tokens')({
  clientId: 'process.env.AUTH0_CLIENT_ID',
  clientSecret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'),
})

// each key is an entity, each array element is an action
var token = createToken({
  scopes: {
    users: ['read', 'update'],
    clients: ['delete']
  },
  lifetimeInSeconds: TOKEN_EXPIRATION_IN_SECONDS
});

console.log("Auth0 token: ", token);

var socket = io.connect('http://127.0.0.1:8000', {
  'query': 'token=' + token});
var app = feathers().configure(feathers.socketio(socket));

我没有使用令牌范围,但我从一个示例中复制了它们。应该不是问题。

当我打开 JWT_AUTH 时,服务器停止为未经授权的 [以及授权的] socket.io 请求提供服务。没有它,我的 REST API 会受到保护,但 socket.io 不会。我需要使用 Auth0 保护的 socket.io。我可以检查什么?

谢谢

4

2 回答 2

1 
var createToken = require('auth0-api-tokens')({
    clientId: 'process.env.AUTH0_CLIENT_ID',
    clientSecret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'),
})

由于这是在客户端上运行的(正如您的问题所暗示的那样),请确保您已经process.env在客户端上重新创建了对象,以便它可以访问它,并找到您的环境变量。

于 2015-12-18T16:27:54.450 回答
0

对我来说,以下工作:

io.use(socketioJwt.authorize({
  secret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'),
  handshake: true
}));

没有观众的秘密和握手。

于 2015-12-19T17:42:38.073 回答