Почему выводится 403 код при перезагрузке страницы?

Question

[Александр Яковлев]

У меня есть middleware, который проверяет вошел ли администратор, и существует ли он:

import jwtDecode from 'jwt-decode';

const Admin = require("../models/Admin");

module.exports = async (req, res, next) => {
  try {
    const auth = req.headers.authorization;

    if (auth) {
      const token = auth.split(' ')[1];

      if (token) {
        const { _doc: { _id } } = jwtDecode(token);
        const candidate = await Admin.findById(_id);

        req.isAdmin = Boolean(candidate);
      } else {
        req.isAdmin = false;
      }
    } else {
      req.isAdmin = false;
    }

    next();
  } catch (err) {
    console.log(err);

    return res.status(500).json({ ok: false, message: "Произошла ошибка сервера" });
  }
}

Это происходит только на одной странице: странице заказов

Когда я перехожу по страницам, включая эту, то все хорошо, но если я перезагружаю эту страницу, то выводится это:

{
 ok: false,
 message: "У вас нет доступа"
}

И middleware показывает, что auth является undefined.

Получение заказов:

router.get("/orders", isAdmin, async (req, res) => {
  try {
    if (req.isAdmin) {
      const orders = await Order.find();

      return res.status(200).json({ ok: true, orders });
    } else {
      return res.status(403).json({ ok: false, message: "У вас нет доступа" });
    }
  } catch (err) {
    console.log(err);

    return res.status(500).json({ ok: false, message: "Произошла ошибка сервера" });
  }
});

Answer 1

[Иван Кулаков]

Покажите код, который отвечает за успешную авторизацию. Похоже, что у Вас не устанавливаются сессии.

Comments

[Александр Яковлев]

router.post("/login", async (req, res) => {
  try {
    const { body } = req;
    const { email, password } = body;
    const candidate = await User.findOne({ email });

    if (candidate) {
      const isTruePassword = await bcrypt.compare(password, candidate.password);

      if (isTruePassword) {
        const token = jwt.sign({ ...candidate }, process.env.SECRET_KEY, { expiresIn: Math.floor(Date.now() / 1000) + (60 * 60) });

        return res.status(200).json({ ok: true, message: "Вы вошли", token: `Bearer ${token}` });
      } else {
        return res.status(400).json({ ok: false, message: "Неверный пароль" });
      }
    } else {
      return res.status(404).json({ ok: false, message: "Такого пользователя не существет" });
    }
  } catch (err) {
    console.log(err);

    return res.status(500).json({ ok: false, message: "Произошла ошибка сервера" });
  }
});

[Александр Яковлев]

Метод autoLogin, который является middelware'ом на страницах

autoLogin({ commit }) {
      const cookieStr = process.browser ? document.cookie : this.app.context.req.headers.cookie || "";
      const findToken = parseCookie(cookieStr);

      if (findToken) {
        const isValidToken = tkn => {
          if (!tkn) {
            return false;
          }

          const tokenData = jwtDecode(tkn) || {};
          const expires = tokenData.exp || 0;

          return (new Date().getTime() / 1000) < expires;
        }

        return isValidToken(findToken.token) ? commit("setToken", findToken.token) : commit("clearToken");
      } else {
        return commit("clearToken");
      }
    },