5

我过去曾使用 npm 包 express-jwt 来轻松进行 JWT 签名、解码等。通常(根据文档)它会拦截请求,使用用户对象有效负载解码令牌并设置req.user为该有效负载。但是,这一次它显示req.user如下:

{ '$__': 
   { strictMode: true,
     getters: {},
     wasPopulated: false,
     activePaths: { paths: [Object], states: [Object], stateNames: [Object] },
     emitter: { domain: null, _events: {}, _maxListeners: 0 } },
  isNew: false,
  _doc: 
   { __v: 0,
     password: '$2a$10$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
     username: 'b',
     lastname: 'Last',
     firstname: 'First',
     _id: '56969210e3f8bf2ab9aee66d' },
  _pres: { '$__original_save': [ null, null, null ] },
  _posts: { '$__original_save': [] },
  iat: 1452709101 
}

而不仅仅是:

{
    __v: 0,
    password: '$2a$10$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
    username: 'b',
    lastname: 'Last',
    firstname: 'First',
    _id: '56969210e3f8bf2ab9aee66d'
}

我试图弄清楚为什么这一次我需要指定req.user._doc以获取有关用户的特定信息。我已经比较了每个来源的代码,它实际上与过去的项目相同,我只是并排测试了它们 - 一个项目将 req.user 设置为用户对象,另一个将 req.user 设置为上面显示的对象,其中用户对象只能在_doc属性中找到。

我检查了两个项目中 mongoose.findOne()方法实际返回的内容,它上面两个项目中显示的较大对象,但 express-jwt 似乎在一个项目中自动清除了多余的东西,而在另一个项目中没有。

我还注意到,带有我不想要的所有附加信息的 JWT 比项目中带有正确req.user对象的 JWT 长得多。所以也许这意味着当 JWT 使用有效负载签名时发生了一些奇怪的事情......

这是需要的相关代码req.user._doc

服务器.js

...
var expressJwt = require('express-jwt');
var authRoutes = require('./routes/authRoutes');
var nationRoutes = require('./routes/nationRoutes');
...
app.use('/api', expressJwt({ secret: config.secret }));
app.use('/api/nation', nationRoutes);
app.use('/auth', authRoutes);
...

authRoutes.js

...
authRouter.post('/login', function (req, res) {
    User.findOne({ username: req.body.username }, function (err, user) {
        if (err) res.status(500).send(err);
        if (!user) res.status(401).send('The username you entered does not exist');
        else if (user) {
            bcrypt.compare(req.body.password, user.password, function (err, match) {
                if (err) throw (err);
                if (!match) res.status(401).send("Incorrect Password");
                else {
                    var token = jwt.sign(user, config.secret);
                    res.send({
                        user: user,
                        token: token
                    });
                }
            });
        }
    });
});
...

countryRoutes.js(问题出现的地方)

至此,express-jwt 已经解码了令牌并(据说)将令牌的有效负载(应该只是用户的信息,而不是附加$__的等内容)设置为req.user,但我必须req.user._doc按照下面的代码让它工作。

...
nationRouter.route('/')
    .get(function (req, res) {
        console.log(req.user);  // Shows the larger object with added stuff from above
        Nation.find({ user: req.user._doc._id }, function (err, nations) {
            if (err) {
                res.status(500).send(err);
            }
            res.send(nations);
        });
    })
...

如果它有帮助,或者可能是问题的一部分,这里是用户模型和国家模型:

用户.js

var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var bcrypt = require("bcrypt");

var userSchema = new Schema({
    firstname: {
        type: String,
        required: true
    },
    lastname: {
        type: String,
        required: true
    },
    username: {
        type: String,
        required: true,
        unique: true,
        lowercase: true
    },
    password: {
        type: String,
        required: true
    },
    email: String
});

userSchema.pre("save", function (next) {
    var user = this;

    if (!user.isModified("password")) {
        next();
    }

    bcrypt.hash(user.password, 10, function (err, hash) {
        if (err) return next(err);

        user.password = hash;
        next();
    }); 
});

module.exports = mongoose.model('User', userSchema);

国家.js

var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var Nation = new Schema({
    name: {
        type: String,
        required: true
    },
    creationDate: {
        type: Date,
        default: Date.now
    },
    user: {
        type: Schema.Types.ObjectId,
        ref: 'User'
    }
});

module.exports = mongoose.model('Nation', Nation);
4

1 回答 1

8

我在我的代码中使用了该软件包的过去版本号,jsonewebtoken并且问题在版本 5.5.1 中消失了。(5.5.2好像已经引入了这个问题)。我查看了 jsonwebtoken 的源代码,并在他们的 github 问题页面(此处此处)上与一些开发人员进行了几次对话。似乎他们xtend在方法中引入了一个调用有效负载的包jwt.sign(),这似乎是在编码之前将所有额外的元属性添加到有效负载上。

我正在使用 Mongoose,根据其中一位jsonwebtoken开发人员的说法,我需要开始使用Document.toObject()Mongoose 的方法。所以从现在开始:

...
jwt.sign(user.toObject(), ...)
...

将是在 Mongoose 中执行此操作的方法。

于 2016-01-14T02:42:49.403 回答