节点js跨域验证
我正在研究MEAN应用程序,我正在为我的项目使用Angular 4。对于身份验证,我已经实现了Passport js Local-strategy。我正在使用Express-session维持持久会话。事情一直很好,直到这里。
问题
在同一个域中session工作正常,我能够验证用户。但在跨域,我无法维持会话。它为跨域中的每个新请求生成新的会话ID。
然后我尝试了Passport-jwt,但问题是我无法控制用户会话。我的意思是,如果用户不活动,甚至在服务器上重新启动,我也无法从服务器注销用户,token也不会失效。
所以简单来说,我正在寻找Node js(Express js)中的身份验证解决方案,我可以在其中管理跨域身份验证。
我已经看过一些博客文章和像this这样的SO问题,但它没有帮助。
谢谢。
编辑
我应该编写自己的代码来实现这一目标吗?如果是这样,我有一个计划。
我的基本计划是:
- 用户将使用登录请求发送凭据。
- 我将检查数据库中的凭据。如果凭证有效,我将生成一个随机令牌并将其保存到用户表中的数据库中,并且我将通过成功响应向用户提供相同的令牌。
- 现在,每个请求用户都将发送令牌,我将检查数据库中每个请求的令牌。如果令牌有效,那么我将允许用户访问API,否则我将生成401状态代码的错误。
- 我正在使用Mongoose(MongoDB),所以我可以检查每个请求中的令牌(性能观点)。
我认为这也是一个好主意。我只是想要一些建议,无论我是否正在考虑正确的方向。
我会得到这个:
- 应用程序中登录用户的数量(活动会话)。
- 如果用户空闲一段时间,我可以注销用户。
- 我可以管理同一用户的多个登录会话(通过在数据库中进行输入)。
- 我可以允许最终用户清除所有其他登录会话(如Facebook和Gmail优惠)。
- 任何与授权相关的定制。
编辑2
在这里,我分享我的app.js代码
var express = require('express');
var helmet = require('helmet');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var dotenv = require('dotenv');
var env = dotenv.load();
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');
var session = require('express-session');
var cors = require('cors');
var databaseUrl = require('./config/database.js')[process.env.NODE_ENV || 'development'];
// configuration
mongoose.connect(databaseUrl); // connect to our database
var app = express();
// app.use(helmet());
// required for passport
app.use(function(req, res, next) {
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept');
if ('OPTIONS' == req.method) {
res.send(200);
} else {
next();
}
});
app.use(cookieParser());
app.use(session({
secret: 'ilovescotchscotchyscotchscotch', // session secret
resave: true,
saveUninitialized: true,
name: 'Session-Id',
cookie: {
secure: false,
httpOnly: false
}
}));
require('./config/passport')(passport); // pass passport for configuration
var index = require('./routes/index');
var users = require('./routes/user.route');
var seeders = require('./routes/seeder.route');
var branches = require('./routes/branch.route');
var companies = require('./routes/company.route');
var dashboard = require('./routes/dashboard.route');
var navigation = require('./routes/navigation.route');
var roles = require('./routes/role.route');
var services = require('./routes/services.route');
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'jade');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));
// app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use(passport.initialize());
app.use(passport.session()); // persistent login sessions
app.use(flash()); // use connect-flash for flash messages stored in session
require('./routes/auth.route')(app, passport);
app.use('/', index);
app.use('/users', users);
app.use('/seed', seeders);
app.use('/branches', branches);
app.use('/companies', companies);
app.use('/dashboard', dashboard);
app.use('/navigation', navigation);
app.use('/roles', roles);
app.use('/services', services);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
res.status(404).send({ status: 'NOT_FOUND', message: 'This resource is not available.'});
});
// error handler
app.use(function(err, req, res, next) {
// set locals, only providing error in development
res.locals.message = err.message;
res.locals.error = req.app.get('env') === 'development' ? err : {};
// render the error page
let errorObj = {
status: 'INTERNAL_SERVER_ERROR',
message: 'Something went wrong.',
error: err.message
};
res.status(err.status || 500).send(errorObj);
});
module.exports = app;
编辑3
对于那些不了解我的问题的人。用简单的词语解释问题:
- My Express服务器在端口3000上运行。
- 要从服务器使用任何API,用户必须登录。
- 当用户从
localhost:3000登录时,服务器会检查凭据(使用Passport-local)并在响应头中返回一个令牌。 - 现在登录后,当用户从
localhost:3000点击任何API时,预定义的Header附带passport-session然后护照使用req.isAuthenticated()验证用户会话并且所有事情都按预期工作。 - 当用户从
localhost:4000登录并且服务器在响应头中发送令牌(与localhost:3000相同)。 - 成功登录后,用户从
localhost:4000点击任何API,护照js函数req.isAuthenticated()返回false。 - 发生这种情况是因为在跨域中,
cookie没有进入服务器,我们需要在客户端将withCredentials头设置为true。 - 我已经将
withCredentials标头设置为true,但仍然在服务器上req.isAuthenticated()正在返回false。
解决CORS / cookie /同域问题的一种可能解决方案是创建代理服务器,将镜像从localhost:3000/api到localhost:4000的所有请求,然后使用localhost:3000/api访问API而不是localhost:4000。
生产部署的最佳方式是在您的Web服务器(nginx / apache)上执行此操作。
你也可以通过express和request模块在节点中完成它,或者使用像这样的一些现成的中间件:
https://github/villadora/express-http-proxy
使用此中间件的解决方案非常简单:
var proxy = require('express-http-proxy');
var app = require('express')();
app.use('/api', proxy('localhost:4000'));
节点js跨域验证
我正在研究MEAN应用程序,我正在为我的项目使用Angular 4。对于身份验证,我已经实现了Passport js Local-strategy。我正在使用Express-session维持持久会话。事情一直很好,直到这里。
问题
在同一个域中session工作正常,我能够验证用户。但在跨域,我无法维持会话。它为跨域中的每个新请求生成新的会话ID。
然后我尝试了Passport-jwt,但问题是我无法控制用户会话。我的意思是,如果用户不活动,甚至在服务器上重新启动,我也无法从服务器注销用户,token也不会失效。
所以简单来说,我正在寻找Node js(Express js)中的身份验证解决方案,我可以在其中管理跨域身份验证。
我已经看过一些博客文章和像this这样的SO问题,但它没有帮助。
谢谢。
编辑
我应该编写自己的代码来实现这一目标吗?如果是这样,我有一个计划。
我的基本计划是:
- 用户将使用登录请求发送凭据。
- 我将检查数据库中的凭据。如果凭证有效,我将生成一个随机令牌并将其保存到用户表中的数据库中,并且我将通过成功响应向用户提供相同的令牌。
- 现在,每个请求用户都将发送令牌,我将检查数据库中每个请求的令牌。如果令牌有效,那么我将允许用户访问API,否则我将生成401状态代码的错误。
- 我正在使用Mongoose(MongoDB),所以我可以检查每个请求中的令牌(性能观点)。
我认为这也是一个好主意。我只是想要一些建议,无论我是否正在考虑正确的方向。
我会得到这个:
- 应用程序中登录用户的数量(活动会话)。
- 如果用户空闲一段时间,我可以注销用户。
- 我可以管理同一用户的多个登录会话(通过在数据库中进行输入)。
- 我可以允许最终用户清除所有其他登录会话(如Facebook和Gmail优惠)。
- 任何与授权相关的定制。
编辑2
在这里,我分享我的app.js代码
var express = require('express');
var helmet = require('helmet');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var dotenv = require('dotenv');
var env = dotenv.load();
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');
var session = require('express-session');
var cors = require('cors');
var databaseUrl = require('./config/database.js')[process.env.NODE_ENV || 'development'];
// configuration
mongoose.connect(databaseUrl); // connect to our database
var app = express();
// app.use(helmet());
// required for passport
app.use(function(req, res, next) {
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header('Access-Control-Allow-Headers', 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept');
if ('OPTIONS' == req.method) {
res.send(200);
} else {
next();
}
});
app.use(cookieParser());
app.use(session({
secret: 'ilovescotchscotchyscotchscotch', // session secret
resave: true,
saveUninitialized: true,
name: 'Session-Id',
cookie: {
secure: false,
httpOnly: false
}
}));
require('./config/passport')(passport); // pass passport for configuration
var index = require('./routes/index');
var users = require('./routes/user.route');
var seeders = require('./routes/seeder.route');
var branches = require('./routes/branch.route');
var companies = require('./routes/company.route');
var dashboard = require('./routes/dashboard.route');
var navigation = require('./routes/navigation.route');
var roles = require('./routes/role.route');
var services = require('./routes/services.route');
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'jade');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));
// app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use(passport.initialize());
app.use(passport.session()); // persistent login sessions
app.use(flash()); // use connect-flash for flash messages stored in session
require('./routes/auth.route')(app, passport);
app.use('/', index);
app.use('/users', users);
app.use('/seed', seeders);
app.use('/branches', branches);
app.use('/companies', companies);
app.use('/dashboard', dashboard);
app.use('/navigation', navigation);
app.use('/roles', roles);
app.use('/services', services);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
res.status(404).send({ status: 'NOT_FOUND', message: 'This resource is not available.'});
});
// error handler
app.use(function(err, req, res, next) {
// set locals, only providing error in development
res.locals.message = err.message;
res.locals.error = req.app.get('env') === 'development' ? err : {};
// render the error page
let errorObj = {
status: 'INTERNAL_SERVER_ERROR',
message: 'Something went wrong.',
error: err.message
};
res.status(err.status || 500).send(errorObj);
});
module.exports = app;
编辑3
对于那些不了解我的问题的人。用简单的词语解释问题:
- My Express服务器在端口3000上运行。
- 要从服务器使用任何API,用户必须登录。
- 当用户从
localhost:3000登录时,服务器会检查凭据(使用Passport-local)并在响应头中返回一个令牌。 - 现在登录后,当用户从
localhost:3000点击任何API时,预定义的Header附带passport-session然后护照使用req.isAuthenticated()验证用户会话并且所有事情都按预期工作。 - 当用户从
localhost:4000登录并且服务器在响应头中发送令牌(与localhost:3000相同)。 - 成功登录后,用户从
localhost:4000点击任何API,护照js函数req.isAuthenticated()返回false。 - 发生这种情况是因为在跨域中,
cookie没有进入服务器,我们需要在客户端将withCredentials头设置为true。 - 我已经将
withCredentials标头设置为true,但仍然在服务器上req.isAuthenticated()正在返回false。
解决CORS / cookie /同域问题的一种可能解决方案是创建代理服务器,将镜像从localhost:3000/api到localhost:4000的所有请求,然后使用localhost:3000/api访问API而不是localhost:4000。
生产部署的最佳方式是在您的Web服务器(nginx / apache)上执行此操作。
你也可以通过express和request模块在节点中完成它,或者使用像这样的一些现成的中间件:
https://github/villadora/express-http-proxy
使用此中间件的解决方案非常简单:
var proxy = require('express-http-proxy');
var app = require('express')();
app.use('/api', proxy('localhost:4000'));