1

后端:Sails.js

res.json(data);我已经为 REST API 实现了 JSON Web Token,只有当它通过 Authorization Header 接收到正确的 JWT时,从前端到各种控制器的操作的所有 AJAX 请求才会返回数据。它按预期工作。

现在,我已经使用 EJS 创建了一个视图<%= name =>,现在控制器具有详细信息res.view('/home', {name: "Bill"} );并配置路由以指向相应的控制器。

如何通过从具有属性的服务器端视图中使用已发布的 JWT(存储在 localStorage 中)进行身份验证,从控制器中检索“名称”<%= name =>

谢谢。

代码:

意见/index.ejs

<%= name =>

api/控制器/UsersController.js

info: function(req, res) {

var userId = req.token;

Users.findOne(userId).exec(function(err, profile) {
    if(err) {
    res.json(err);
    } else {
       res.view('index',{
        name: profile.name,
    });
    }
});        
},

api/policies/tokenAuth.js

module.exports = function(req, res, next) {
  var token;

  if (req.headers && req.headers.authorization) {
    var parts = req.headers.authorization.split(' ');
    if (parts.length == 2) {
      var scheme = parts[0],
        credentials = parts[1];

      if (/^Bearer$/i.test(scheme)) {
        token = credentials;
      }
    } else {
      return res.json(401, {err: 'Format is Authorization: Bearer [token]'});
    }
  } else if (req.param('token')) {
    token = req.param('token');
    delete req.query.token;
  } else {
    return res.json(401, {err: 'No Authorization header was found'});
  }

  sailsTokenAuth.verifyToken(token, function(err, token) {
    if (err) return res.json(401, {err: 'Please Logout and Login again!'});

    req.token = token;

    next();
  });
};

api/services/sailsTokenAuth.js

var jwt = require('jsonwebtoken');

module.exports.issueToken = function(payload) {
  var token = jwt.sign(payload, process.env.TOKEN_SECRET || "xxxxxxx");
  return token;
};

module.exports.verifyToken = function(token, verified) {
  return jwt.verify(token, process.env.TOKEN_SECRET || "xxxxxxx", {}, verified);
};

配置/routes.js

module.exports.routes = {
    '/': {
        controller: 'UsersController',
        action: 'info'
      },
};

解决方案:

要将 JWT 用作从客户端浏览器到服务器的身份验证因素,可以使用 localStorage 或会话 cookie。由于在服务器中更容易实现,我终于将其范围缩小到使用 cookie。

验证用户身份后,将 JWT 存储在客户端浏览器中,

res.cookie('jwttoken', sailsTokenAuth.issueToken(profile.name));

然后可以使用req.cookies.jwttoken服务(jwt.verify)对其进行检索和验证,以通过res.json或访问请求的信息res.view

4

1 回答 1

6

看不到您的任何代码(未提供),但可以说您设置了自定义策略api/policies/jwt.js等,并在其中检查每个请求的 JWTToken。类似的东西(为简单起见忽略任何错误处理):

module.exports = function (req, res, next) {

    var token = req.headers.authorization.split(' ')[1];
    var payload = jwt.decode(token, config.TOKEN_SECRET);
    req.userId = payload.sub;
    next();
};

请注意我如何将 userId 附加到req对象(req.userId = payload.sub;)。这意味着在您的控制器中,您将可以访问userId(或者在您的情况下,您可以使用任何 id 来识别您的登录用户等),因为您可以简单地从传入的req对象中引用它。

显然,您对 JWT 策略的实现可能会有所不同,但只需将其自定义为上述内容即可。如果您实际上将名称保留在 jwt 令牌本身中(看不到您的实现),那么只需将其附加到 req 对象(不需要模型查找)。

获得所需的name后,将其传递给您的视图(就像您当前对上面的硬编码值Bill所做的那样。

根据更新的问题进行更新

因此,根据您的评论和更新的问题,您已设法从 JWT 令牌中提取配置文件信息,并从模型查找中获取所需的配置文件信息。您现在无法在 EJS 视图上显示该名称。

所以你可以做到这一点:

控制器:

res.view('index', {
        name: profile.name
    }

请注意,我删除了 profile.name 之后的逗号;)

config/views.js应该设置为“ejs”,如果那是你正在使用的模板引擎。

其余的看起来不错。至少,与我的预期一致。

您最好的选择是显式使用调试器,或者至少在 controller.info 方法返回之前使用 console.log 语句,并确保按预期设置 profile.name。如果你走得那么远,那么你就会知道问题在于以某种方式查看的路由。

您可以尝试在视图下创建一个子文件夹并重命名视图文件(索引有点特殊..)。做类似views/xxx/yyy.ejs的事情

还暂时注释掉你的 controller.info 方法,并用一些非常简单的东西代替它:

res.view('xxx/yyy', {
            name: 'bob'
        });

根据进一步的用户反馈进一步更新

从您上次的评论中,您的问题正在逐渐演变......

我认为您现在所说的是 Sails 代码都可以正常工作,并且使用 Postman 证明可以正常工作。但是在使用 Web 浏览器客户端时失败,因为您的客户端代码没有在 http 标头中传递正确的令牌信息。

如果是这种情况,您需要在客户端上创建一个拦截器,以编程方式应用标头信息。

例如。(只是从 Angular 工厂 authInterceptor 中截取的片段,但这里没有显示特定的角度):

 request: function (config) {
      var token = authToken.getToken();

      if (token) {
        config.headers.Authorization = 'Bearer ' + token;
      }

      return config;
    },

上面,根据请求,从本地存储中检索 JWT(您说您正在使用),如果令牌存在,则使用“不记名令牌”形式的授权标头更新 http 标头信息。

我还没有看过你的回购,老实说,我确实觉得我已经给了你很多信息。根据我提供的内容,也许还有更多的谷歌搜索/测试,你应该能够得到一个可行的解决方案。

于 2016-01-16T10:14:21.380 回答