关键词:
【中文标题】如何使用护照身份验证更新包含 jwt 的 cookie【英文标题】:How to update cookie containing jwt using passport authentication 【发布时间】:2019-07-07 05:03:23 【问题描述】:我有一个包含签名 jwt 的 cookie,有效期为 5 分钟。 jwt 包含基本用户信息(用于身份验证)以及全局唯一 ID (guid)。如果这些 guid 有效,我会将它们存储在数据库中,并且在 jwt 到期后的下一个请求中,我想:
1.) 检查数据库中的 guid 并查看它是否仍然有效(未列入黑名单)
2.) 使用新的 5 分钟有效期和相同的信息更新 cookie 中的 jwt
我遇到了很多错误,但我尝试过的任何方法都没有奏效,我很好奇这是否可能或目前的正确方法。
我将节点 js 包“passport-jwt”与“jsonwebtoken”结合使用来创建 jwt 并对其进行验证。
//////////////////////
//authorization.js
//////////////////////
const JWTStrategy = require('passport-jwt').Strategy;
const jwt = require('jsonwebtoken');
const mongoose = require('mongoose');
require('../models/Guids');
const Guids = mongoose.model('Guids');
module.exports.JWTStrategy = function (passport)
passport.use('jwt', new JWTStrategy(
jwtFromRequest: req => cookieExtractor(req, 'token'),
secretOrKey: 'secret',
passReqToCallback: true
,
(req, jwt_payload, done) =>
if (Date.now() / 1000 > jwt_payload.exp)
Guids.findOne( _id: jwt_payload.guid, userId: jwt_payload.uid )
.then(guid =>
if (guid.valid)
//REFRESH TOKEN HERE
//????????return done(null, jwt_payload);
else
//FORCE USER TO RE-AUTHENTICATE
//???????return done('access token expired');
)
.catch(err =>
console.log(err);
return done('failed to validate user');
);
else
return done(null, jwt_payload);
));
;
var cookieExtractor = function (req, tokenName)
var token = null;
if (req && req.cookies)
token = req.cookies[tokenName];
else
console.log('no cookie found');
return token;
;
--
/////////////////////////////
//app.js
/////////////////////////////
const express = require('express');
const cookieParser = require('cookie-parser');
const bodyParser = require('body-parser');
const passport = require('passport');
const jwt = require('jsonwebtoken');
const app = express();
require('./authorization').JWTStrategy(passport);
app.use(bodyParser.urlencoded( extended: false ));
app.use(bodyParser.json());
app.use(cookieParser());
//Protected Route
app.get('/xyz', passport.authenticate('jwt', session: false), (req, res) =>
//route logic....
);
//login Route (creates token)
app.post('/login', (req, res, next) =>
payload =
guid: 12345678901010101',
uid: '123456789',
;
req.login(payload, session: false , (err) =>
if (err)
console.log(err);
else
const token = jwt.sign(payload, 'secret', expiresIn: '30s');
res.cookie('token', token, httpOnly: true );
res.redirect('/xyz');
;
const port = process.env.PORT || 5000;
const server = app.listen(port, () =>
console.log(`Server started on port $port`);
);
默认情况下,当令牌过期时,受保护路由上的身份验证中间件会立即抛出失败。
我想绕过这个失败,而是在“authorization.js”文件中执行一些代码,其中注释为“REFRESH TOKEN HERE”。
由于自动失败,甚至从未到达那行代码!我尝试过在过期前后进行控制台日志记录。
之前我什至手动绕过了自动失败,但是包含cookie的响应对象(res)在passport-jwt策略中不可用。如果指定的位置由于它是中间件功能而无意义,我对应该在哪里实现这个逻辑有点迷茫。
此外,如果受保护的路由是 POST,并且在页面“GET”成功后令牌过期,我不想阻碍 POST 方法。我想无缝刷新令牌,然后随 POST 一起移动。
【问题讨论】:
我不确定我是否理解您使用 GUID 的意图...因为您使用的是什么?如果您不想使用护照发送自定义身份验证消息,您可以使用自定义回调/中间件:function(req, res, next) passport.authenticate(...)(req, res, next); See for details in section Custom Callback
@0x1C1B 在我发布的示例中,我硬编码了一个 GUID。在我的实际代码中,我为每个登录 POST 请求生成一个唯一 ID,并将它们存储在数据库中。我将看一下自定义回调功能,如果它正常工作,我会回到这篇文章。谢谢
@0x1C1B 必须彻底检修我的中间件,但您是对的,自定义回调是正确的方法。如果您做出回复,我会认为您的回复是正确的。非常感谢您将我指向该文档!
【参考方案1】:
Passport 支持自定义消息或更准确地说是自定义回调。您必须自己手动调用护照 authenticate 中间件嵌入到您自己的包装中间件中。这允许访问req 和res 对象。更多详情请参阅documentation。
如果内置选项不足以处理身份验证请求,可以提供自定义回调以允许应用程序处理成功或失败。
app.get('/login', function(req, res, next)
passport.authenticate('local', function(err, user, info)
if (err) return next(err);
if (!user) return res.redirect('/login');
req.logIn(user, function(err)
if (err) return next(err);
return res.redirect('/users/' + user.username);
);
)(req, res, next);
);
【讨论】:
使用 JWT 进行护照身份验证:如何将护照的默认未经授权响应更改为我的自定义响应?
】使用JWT进行护照身份验证:如何将护照的默认未经授权响应更改为我的自定义响应?【英文标题】:PassportauthenticationwithJWT:HowcanIchangepassport\'sdefaultunauthorizedresponsetomycustomresponse?【发布时间】:2019-05-3020:08:26【问题描述】:我... 查看详情
使用 Passport 进行社交身份验证登录后如何重定向到个人资料页面? (角度,快递,护照,jwt)
】使用Passport进行社交身份验证登录后如何重定向到个人资料页面?(角度,快递,护照,jwt)【英文标题】:HowtoredirecttoprofilepageaftersocialauthloginwithPassport?(Angular,express,passport,jwt)【发布时间】:2020-09-0514:06:51【问题描述】:我... 查看详情
对身份验证技术的怀疑 - 护照
...尝试了passport和passport-jwt的身份验证技术。这是我一直在使用的代码constJwtStrategy=require("passport-jwt").Strategy;constExtractJwt=r 查看详情
Laravel 通过生成的令牌进行身份验证,无需护照和 jwt
...018-05-2810:12:09【问题描述】:我正在尝试通过在laravel5.5中使用md5加密方法从登录用户的用户名中检查生成的令牌来执行api-auth,并且不想将令牌保存到用户表中。当用户注销时,令牌将无效。URL将是这样的:http://my 查看详情
护照 jwt 验证回调未调用
...called【发布时间】:2016-12-1411:31:45【问题描述】:我正在使用passport-jwt包进行简单的身份验证,令牌是由jsonwebtoken生成的。但问题是永远不会调用验证回调。这是我的passport.js代码。varJwtStrategy=require(\'passport-jwt\').Strategy;var 查看详情
护照-jwt 总是返回 401 未授权
...【发布时间】:2019-08-2913:33:36【问题描述】:我正在尝试使用passport-jwt身份验证策略对nodejsapi进行身份验证,但它总是抛出401未经授权的错误。我尝试了各种实现,但passport.authenticate功能似乎不起作用。使用以下护照版本:"护... 查看详情
节点快速通行证 (JWT) - 身份验证后回调
...行回调函数/响应时遇到困难,仅当用户通过身份验证。如何做到这一点?在我的路线中:importexpressfrom\'express\';importpassportfrom\'../../conf 查看详情
使用 HTTP 基本身份验证获取 JWT 令牌的安全性如何?
】使用HTTP基本身份验证获取JWT令牌的安全性如何?【英文标题】:HowsecureisusingHTTPBasicAuthenticationtogetJWTtoken?【发布时间】:2019-01-0517:52:09【问题描述】:我一般不太熟悉HTTP基本身份验证或Web身份验证,因此我希望得到一些帮助... 查看详情
Node.js - JWT、API:如何实现多个 Passport.js 身份验证中间件?
】Node.js-JWT、API:如何实现多个Passport.js身份验证中间件?【英文标题】:Node.js-JWT,API:HowToImplementMultiplePassport.jsAuthenticationMiddleware?【发布时间】:2020-03-2313:57:47【问题描述】:所以我正在尝试为一个应用构建两个JWT身份验证系统... 查看详情
使用带护照的 jwt 得到 404 错误
】使用带护照的jwt得到404错误【英文标题】:usingjwtwithpassportget404error【发布时间】:2018-08-1118:55:38【问题描述】:我尝试使用Express、Passport、Jwt、passportlocal和Mariadb创建一个身份验证API。我不需要User模型,但想使用sql调用。我... 查看详情
如何使用 graphql 和护照设置身份验证但仍使用 Playground
】如何使用graphql和护照设置身份验证但仍使用Playground【英文标题】:Howtosetupauthenticationwithgraphql,andpassportbutstillusePlayground【发布时间】:2020-12-0813:21:20【问题描述】:向我们的后端Graphql服务器添加身份验证后,“Schema”和“Docs... 查看详情
用于超级账本作曲家 API 的 Passport JWt 身份验证
...oken我正在寻找一种解决方案来为hyperledgercomposerRESTAPI实现护照jwt身份验证策略。我已按照此链接设置护照身份验证https://www.c 查看详情
护照验证 jwt 没有响应
】护照验证jwt没有响应【英文标题】:Passportauthenticatejwtnotresponding【发布时间】:2021-03-2701:16:26【问题描述】:我有一个基本的MERN登录/注册应用程序,其中包含一个虚拟保护路由,仅对登录用户可见。我已经设置了与登录和注... 查看详情
护照后如何使用承诺登录。通过社会服务进行身份验证。 KeystoneJS + 护照
】护照后如何使用承诺登录。通过社会服务进行身份验证。KeystoneJS+护照【英文标题】:Howtodosigninwithpromisesafterpassport.authenticatewithsocialservices.KeystoneJS+Passport【发布时间】:2017-04-2218:08:43【问题描述】:除了myquestioninrepository我需... 查看详情
如何将 Mongoose/Mongodb 与 node.js- 护照身份验证一起使用
】如何将Mongoose/Mongodb与node.js-护照身份验证一起使用【英文标题】:HowtouseMongoose/Mongodbwithnode.js-passportauthentication【发布时间】:2022-01-0814:22:48【问题描述】:我正在构建我的第一个全栈node.js应用程序,我想使用护照进行身份验... 查看详情
如何修复阻止注册用户登录的护照本地身份验证错误
】如何修复阻止注册用户登录的护照本地身份验证错误【英文标题】:Howtofixpassportlocalauthenticationerrorthatpreventsregisteredusersfromloggingin【发布时间】:2021-01-1516:04:23【问题描述】:我花了一些时间来弄清楚为什么我的护照本地身份... 查看详情
如何在没有守卫装饰器的情况下始终验证 JWT? (Nest.js + 护照)
】如何在没有守卫装饰器的情况下始终验证JWT?(Nest.js+护照)【英文标题】:HowtoalwaysvalidateJWTwithoutguardsdecorator?(Nest.js+passport)【发布时间】:2020-02-2318:43:19【问题描述】:我在项目中使用了nest.js+passport+jwt+graphql。如果有令牌,... 查看详情
Grafana:如何使用 JWT 身份验证?
】Grafana:如何使用JWT身份验证?【英文标题】:Grafana:HowtouseJWTauthentication?【发布时间】:2021-08-1901:08:24【问题描述】:我想使用JWT进行Grafana登录身份验证,Grafanadocs规定了一些相同的步骤,但sample.ini中未提供[auth.jwt]默认值,... 查看详情