【发布时间】:2018-05-09 21:16:57
【问题描述】:
我正在开发一个 MEAN 应用程序,我正在为我的项目使用 Angular 4。对于身份验证,我实现了 Passport js Local-strategy。我正在使用Express-session 维护持久会话。到目前为止一切正常。
问题
在同一个域中session 工作正常,我能够对用户进行身份验证。但是在跨域中,我无法维护会话。它为跨域中的每个新请求生成一个新的会话 ID。
然后我尝试了Passport-jwt,但问题是我无法控制用户会话。我的意思是,如果用户处于非活动状态,甚至在服务器重新启动时,我无法从服务器上注销用户,token 也不会失效。
简单来说,我正在寻找一个Node js(Express js)中的身份验证解决方案,我可以在其中管理跨域的身份验证。
我已经看过一些博客文章和类似this 这样的问题,但这并没有帮助。
谢谢。
编辑
我应该编写自己的代码来实现这一点吗?如果是这样,我有一个计划。
我的基本计划是:
- 用户将在登录请求中发送凭据。
- 我将检查数据库中的凭据。如果凭据有效,我将生成一个随机令牌并将其保存到数据库中的用户表中,并且我将向用户提供相同的令牌并提供成功响应。
- 现在,对于每个请求,用户都将发送令牌,我将检查数据库中每个请求的令牌。如果令牌有效,那么我将允许用户访问 API,否则我将生成带有 401 状态代码的错误。
- 我使用的是 Mongoose (MongoDB),所以我可以检查每个请求中的令牌(从性能角度来看)。
我认为这也是一个好主意。我只是想要一些建议,无论我的想法是否正确。
我会得到什么:
- 应用程序中的登录用户数(活动会话)。
- 如果用户空闲一段时间,我可以注销他。
- 我可以管理同一用户的多个登录会话(通过在数据库中输入)。
- 我可以允许最终用户清除所有其他登录会话(如 Facebook 和 Gmail 优惠)。
- 与授权相关的任何自定义。
编辑 2
我在这里分享我的app.js 代码
var express = require('express');
var helmet = require('helmet');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var dotenv = require('dotenv');
var env = dotenv.load();
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');
var session = require('express-session');
var cors = require('cors');
var databaseUrl = require('./config/database.js')[process.env.NODE_ENV || 'development'];
// configuration
mongoose.connect(databaseUrl); // connect to our database
var app = express();
// app.use(helmet());
// required for passport
app.use(function(req, res, next) {
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept');
if ('OPTIONS' == req.method) {
res.send(200);
} else {
next();
}
});
app.use(cookieParser());
app.use(session({
secret: 'ilovescotchscotchyscotchscotch', // session secret
resave: true,
saveUninitialized: true,
name: 'Session-Id',
cookie: {
secure: false,
httpOnly: false
}
}));
require('./config/passport')(passport); // pass passport for configuration
var index = require('./routes/index');
var users = require('./routes/user.route');
var seeders = require('./routes/seeder.route');
var branches = require('./routes/branch.route');
var companies = require('./routes/company.route');
var dashboard = require('./routes/dashboard.route');
var navigation = require('./routes/navigation.route');
var roles = require('./routes/role.route');
var services = require('./routes/services.route');
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'jade');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));
// app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use(passport.initialize());
app.use(passport.session()); // persistent login sessions
app.use(flash()); // use connect-flash for flash messages stored in session
require('./routes/auth.route')(app, passport);
app.use('/', index);
app.use('/users', users);
app.use('/seed', seeders);
app.use('/branches', branches);
app.use('/companies', companies);
app.use('/dashboard', dashboard);
app.use('/navigation', navigation);
app.use('/roles', roles);
app.use('/services', services);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
res.status(404).send({ status: 'NOT_FOUND', message: 'This resource is not available.'});
});
// error handler
app.use(function(err, req, res, next) {
// set locals, only providing error in development
res.locals.message = err.message;
res.locals.error = req.app.get('env') === 'development' ? err : {};
// render the error page
let errorObj = {
status: 'INTERNAL_SERVER_ERROR',
message: 'Something went wrong.',
error: err.message
};
res.status(err.status || 500).send(errorObj);
});
module.exports = app;
编辑 3
对于那些不理解我的问题的人。在解释问题 简单的话:
- 我的 Express 服务器在端口 3000 上运行。
- 为了使用来自服务器的任何 API,用户必须登录。
- 当用户从
localhost:3000登录时,服务器会检查凭据(使用 Passport-local)并在响应标头中返回一个令牌。 - 现在登录后,当用户点击来自
localhost:3000的任何API 时,预定义的Header带有passport-session,然后passport 使用req.isAuthenticated()验证用户会话,所有事情都按预期工作。 - 当用户从
localhost:4000登录并且服务器在响应标头中发送一个令牌(与localhost:3000相同)。 - 当用户登录成功后,从
localhost:4000点击任意API,passport js函数req.isAuthenticated()返回false。 - 之所以发生这种情况,是因为在跨域中,
cookie没有转到服务器,我们需要在客户端将withCredentials标头设置为true。 - 我已将
withCredentials标头设置为true,但在服务器上req.isAuthenticated()仍在返回false。
【问题讨论】:
-
可能最简单的解决方案是使用 cookie,它们是“跨域本地存储”......有点...... github.com/zendesk/cross-storage 在另一个问题上,我想已经有了一个解决方案,不过我从来没有找过,如果你找到了,分享一下,谢谢。
-
@Akxe_,我原来的问题不在客户端。问题出在
Express-session,如果我们在跨域中,服务器会在每个请求上生成新会话。 -
哦,值得一提...然后:stackoverflow.com/questions/9071969/…
-
@Akxe,这也不能解决我的问题。
-
域是彼此的子域吗?像 example.com 和 blog.example.com 一样,还是像 example.com 和 example.org 这样不相关?
标签: javascript node.js express authentication mean-stack