成功 NodeJS 身份验证后使用 Nginx 提供静态内容

Question

上下文：

我正在尝试使用 Nginx 作为前端服务器并作为后端 NodeJS 服务器的代理来构建一个 webapp。我想通过适当的身份验证机制限制对 webapp 功能部分的访问。身份验证逻辑由 NodeJS 服务器处理并使用 JWT 来处理。

当前流程：

1. 静态登录页面显示给由 Nginx 提供服务的用户。
2. 用户凭据被发送到 Nginx 服务器，该服务器被转发到处理登录逻辑的 NodeJS 服务器，并在成功的身份验证后发回 JWT 令牌。 （所有 www.baseurl.com/api 请求都被转发到 NodeJS 服务器）
3. JWT 存储在客户端浏览器的 localStorage 中（由 Auth0 团队推荐），然后我想将用户重定向到功能性 webapp 页面（例如 /home）。
4. 对于重定向，我请求使用我的 JWT 令牌访问 Nginx 服务器的 /api/home 页面。该请求被转发到 NodeJS 以验证令牌。验证后，我需要提供包含 .html、.css、.js 文件的 webapp 功能主页。
5. 由于页面本身首先呈现为静态，然后它发出 ajax 请求以加载更多内容，因此我想从我的 Nginx 服务器提供此主页，而不是从 Node JS 服务器发送整个 HTML 字符串。一旦静态页面加载到客户端机器上，我想开始向节点服务器发出请求，根据用户的权限请求更多页面内容。

问题陈述：

如何使用 Node 和 Nginx 实现相同的目标？ Nginx 怎么知道 NodeJS 已经在第 4 步验证了用户令牌，然后提供主页的静态部分？

这甚至可能吗？处理此类身份验证流程的最佳推荐方法是什么？

PS：我在服务器端使用 ExpressJS 框架，在客户端使用普通的 html/css/js（没有客户端 Web 框架）。

Answer 1

我想出了涉及以下步骤的解决方案：

1. 使用 Nginx 提供静态登录页面
2. 将登录凭据转发到处理身份验证并将 auth-token 存储在响应 cookie 中的 NodeJS 服务器（仅限 http）。将此带有 cookie 设置的响应发送给客户端
3. 一旦客户端收到身份验证消息，成功请求安全 webapp 页面。该请求将携带 auth-cookie 连同其自身。
   4. 再次将请求从 Nginx 转发到 NodeJS 服务器，验证令牌，将 X-Accel-Redirect 标头设置为在 NodeJS 服务器上查找安全文件的路径。

使用 X-Accel-Redirect 时，需要特别注意响应的 Mime-Type。

• CSS 需要与 text/css 一起提供
• 图片需要与 images/jpeg 一起提供
• HTML 内容应与 text/html 一起提供

Answer 2

我认为你对这个问题有两种解决方案。

1。在 NGINX 级别验证令牌

您使用的是 Auth0 对吗？他们制作了一个库来使用 Nginx 和 Lua 验证 JWT 令牌。所以关注their tutorial，你应该会很好。

2。不验证令牌

我相信单页应用程序的敏感部分在于其数据和后端算法。前面的 HTML、CSS 和 JS 文件（在大多数情况下）不需要保护！而且可能无法保护它们。您可以创建一个帐户，获取您所有的安全文件并将它们公开在公共网站上。保持愚蠢简单。如果保护这些文件没有用，请不要这样做！

希望对你有帮助:)