在我的项目中,当用户登录时,会触发身份验证更改并调用 getIdToken,然后通过 HTTP 帖子将令牌发送到后端服务器,在那里它得到验证,然后用作 cookie。 然后,每次用户请求私人页面以验证他的身份和访问权限时,都会重新验证并使用此 cookie。
这将一直有效,直到 id 令牌过期。此时,它失败了,我找不到将新生成的令牌用作 cookie 的方法。
【问题讨论】:
它现在工作如下..
后端认证检查:
function checkAuth(req, res, next) {
if(!req.session.token)
{
return res.redirect("login");
}
else{
admin.auth().verifyIdToken(req.session.token).then(function(decodedToken) {
req.session.uid = decodedToken.uid
next();
}).catch(function(error) { // expired token
return res.render("refreshToken");
});
}
}
refreshToken 呈现给客户端:
firebase.auth().onAuthStateChanged(function(user) {
if (user) {
firebase.auth().currentUser.getIdToken(true).then(function(idToken) {
fetch("/refreshToken",{method: "POST",body:"newToken="+idToken, headers:{'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8'}}).then(function(response){
if(response.ok){
location.reload(true)
}
})
.then(function(data){
if(data.suc == 0){
window.location.replace("/login");
}
});
}).catch(function(error) {
});
}
else{
window.location.replace("/login");
}
返回后台:
app.post("/refreshToken", function(req, res){
if(!req.session.uid) return res.send({suc:0});
admin.auth().verifyIdToken(req.body.newToken || "").then(function(decodedToken) {
if(req.session.uid == decodedToken.uid){
req.session.token = req.body.newToken;
return res.send({suc:1});
}
})
.catch(function(error) {
res.send({suc:0});
});
});
【讨论】: