問題タブ [express-jwt]

2 つのアプリケーションがあり、どちらも Nodejs 上にあります。1 つのフロントエンドともう 1 つのバックエンド。私のバックエンド アプリは、express-jwt および jsonwebtoken ミドルウェアを使用したトークン アクセスで保護されています。

私の問題は次のとおりです。フロントエンドからバックエンドにリクエストを送信してヘッダーにトークンを渡し、バックエンドがリクエストを受け入れて適切に応答します。次に、フロントエンドで応答を特定のページ ( res.redirect('/') ) にリダイレクトします。その瞬間にUnauthorizedError: No authentication token was foundというエラーが表示されます。

私のフロントエンドリクエスト:

なぜこれが起こるのかわかりません。私たちを手伝ってくれますか？前もって感謝します。

Express-jwt を使用して API エンドポイントを保護し、認証されたユーザーのみが API にアクセスできるようにしています。ここで、ユーザーの役割にも基づいて API も保護したいと考えています。たとえば、ユーザーは、管理者の場合は一部の API にのみアクセスでき、スーパー管理者の場合は他の API にのみアクセスできます。どうすればこれを達成できますか? 私はexpress-jwt github docでこのコードスニペットを見つけました:

このコードは、API コントローラー関数で承認を行っているようです。それは唯一の推奨される方法ですか？これを行うためのより良い方法はありますか？このためのベスト プラクティスに関するアドバイスはありますか?

認証が必要なアプリを作成していますが、ユーザーがリモートでログアウトできるようにしたいのではないかと心配しています。JSON Web トークンを使用して、ブラックリストに登録したり拒否したりできる方法はありますか? それらの利点がステートレスであることは理解していますが、リモート ログアウトがあると便利です。

編集: Express-jwt モジュールを使用する Express.js では、tokens を取り消す方法があります。また、モジュールexpress-jwt-blacklistがあります。これらの戦略がどのように機能するのかまだ理解できていません。現時点でのベスト プラクティスを知りたいと考えています。

MEAN アプリケーションの認証のトークン ベースのアーキテクチャが安全であることについては、多くの議論と支持があります。しかし、JSON Web トークンのペイロードとして承認と認証のためにユーザー名とパスワードを本当に渡すのか、ペイロードで保護された情報を渡さない場合、JSON Web トークンがサーバーでユーザー名/パスワードなしでユーザーを認証する方法について疑問があります。側。

私は多くのアーキテクチャに関するものを読みましたが、ユーザー名/パスワードを使用せずにトークンを認証するために使用したロジックを説明できません。

Web ストレージではなく Cookie に認証トークンを保存することは有効ですか?

はい、検証に秘密鍵と公開鍵を使用したことは知っていますが、認証には不十分です。特定のユーザーを認証するには、ユーザー名/パスワードなどのいくつかのキー値、または特定のユーザーを識別するために必要なキー アクセスが必要です。