問題タブ [json-web-token]

Express、bookshelf、mysql、bcrypt、および jsonwebtoken を使用した登録プロセスが成功しました。私のフロントエンドでは、返された応答を angular console.log に記録しています。次のようなオブジェクトを取得します。

データ オブジェクトにはトークンがあり、すべて見栄えがします。問題は構成オブジェクトです。ユーザー名、パスワード、およびパスワード検証がプレーンテキストで含まれています。これは悪い考えのように思えます。トークン自体を返したいと思います。Express によるものか、他のプラグインによるものかはわかりません。問題のファイルはhttps://github.com/vrodriguez363/ng-express-gulp/blob/master/src/server/routes/api.jsにあります答えはありません。ログに記録されたオブジェクトは、彼のスクリーン ショットのように見えます。

次のように JSON Web Token を作成しています。

私の質問は、ユーザーが として削除されたadmin場合、または ではないユーザーが になった場合はどうすればよいadminですadminか?

そのユーザーをブラックリストに登録しますtokenIdか? もしそうなら、それはユーザーとそのユーザーをtokenIdデータベースに保存し始める必要があるということですか?

また、ユーザーの をブラックリストに登録しているtokenId場合、そのシナリオ用の特定のエラー コードを作成することをお勧めします。この場合、クライアント側がそのエラー コードを受信した場合、再認証して新しい を取得しtokenますか?

Express-jwt と jsonwebtokens をテストしています。私はこれまでにこれを使用したことがなく、助けが必要です!

基本的なセットアップは完了しており、保護されたルートは 1 つしかありません。

残念ながら、このエラーが発生するため、「/api」にアクセスできません

POSTman を使用して、次のヘッダーで GET リクエストを発行すると、

すべて正常に動作し、'/api' のコンテンツにアクセスできます。

しかし、私の問題は、特にユーザーを新しい保護されたルートにリダイレクトしようとするときの高速アプリケーションにあります。

ユーザーがログインし、新しい jwt トークンを作成して、ユーザーを「/api」にリダイレクトします

このルートでは、ヘッダーを設定してページをレンダリングします。

残念ながら、次のエラーが表示されます

私の目標は、ユーザーを保護されたルートにリダイレクトできるようにすることです。

私の理解では、 /api は保護されたルートであるため、express-jwt は認証ヘッダーを設定する必要があります。ミドルウェアを使用してヘッダーを手動で設定しようとしても、エラーが発生します。

どんな助けでも大歓迎です！

ありがとう！

私はこのブログ投稿 ( https://auth0.com/blog/2015/04/09/adding-authentication-to-your-react-flux-app/ ) をフォローしており、JWT の側面について混乱しています。

上記の投稿は、Cookie として保存されている JWT があるかどうかを確認することで、ユーザーが既にログインしているかどうかをテストしているようです。ある場合は、それをデコードしてユーザー名やその他の情報を見つけ、ユーザーを認証された場所にリダイレクトします。ページ。

誰かが偽の JWT Cookie を追加して、アプリの認証された部分にアクセスするのを妨げているのは何ですか? 明らかな何かが欠けているに違いありません。言い換えれば、セッションを維持するとき、フロントエンドは、JWT が「サーバーによって署名された」ものであり、アクセスを試みるために不正に作成されたものではないことをどのように保証するのでしょうか?

数週間前から Sails を使用しています。Rails 出身で、Node.js を使用した経験はありません。

現在、jsonwebtoken を使用して堅牢なトークン認証を作成しようとしています。 https://github.com/auth0/node-jsonwebtoken

このガイドhttp://thesabbir.com/how-to-use-json-web-token-authentication-with-sails-js/に従いましたが、すべて正常に機能しました。サインアップしてサインインし、トークンをさまざまなアクションに正しく使用できます。

今、ログインユーザーを使用したいアクションがいくつかあります.devisecurrent_userヘルパーのようなものです。たとえば、コメントを作成する場合、このコメントは現在のユーザーに属している必要があります。

Sabbir Ahmed ガイドを使用すると、isAuthorized.js ポリシーの 33 行目でトークンが復号化されるため、そこから現在のユーザー ID を取得できます。

それで、私の質問は、現在のユーザーを取得し、後でコントローラーで使用できるようにするための最良の方法は何ですか? たとえば、次のようなことを試しました：

しかし、この方法では、これは非同期アクションであるため、コントローラーでこの currentUser を使用することはできません。

ヘルパーやサービスなど、各コントローラーで同じコードを繰り返さずに、後でコントローラーで使用できるように、現在のユーザーを保存したいと考えています。

JWTでユーザー ID に署名してトークンを取得する必要があります。

idとは文字privateKey列です。

エラーはError: Uncaught error: "expiresIn" should be a number of seconds or string representing a timespan eg: "1d", "20h", 60です。オプション オブジェクトをまったく削除すると機能しますが、オプションを設定する必要はありません。

問題は単純なようですが、修正方法がわかりません。何が間違っていますか?

私は今、1日以上グーグルしています。正しいキーワードが欠落している可能性があります。

私は次の設定をしています：

• ExpressJS API (ポート 3000 の pm2 で実行)
• Angular2 アプリ - nginx 経由で提供

どちらも同じサーバーで実行されます。

API (mydomain/api/) への呼び出しはプロキシされます127.0.0.1:3000

認証が必要な API 呼び出しには、JWT とユーザー認証を使用します。

私が達成したいのは、公開呼び出し (製品のリストなど) を行うために許可/要求される angular2 アプリのトークンを生成することです。

もちろん、このトークンは安全に転送する必要があります。これは、他の人が直接 API 呼び出しを介して (盗まれたトークンを使用して) 私の製品と価格を取得したくないためです。

どんな助けでも感謝します。