Как управлять авторизацией с единой точкой входа?

Question

[historydev]

Вот так выглядит вход в моё приложение:

app.use(basic_authentication_controller);
app.use('/messages', jwt_authentication_controller);

app.get('*', (req, res) => {
	res.sendFile('index.html', {root: path.resolve(__dirname, '../dist')});
});

Я использую basic auth + jwt для авторизации + аутентификации. На клиенте при успешной аутентификации я устанавливаю куку с токеном. Приложение на ангуляре, в /dist билд проекта, у него как и у всех свой роутер, как мне разграничить доступ по роутам в моём случае? Допустим /auth не будет доступен если пользователь уже авторизован и наоборот, остальное не будет доступно если он не авторизован.

Answer 1

[Андрей К]

Можно написать middleware которая:

• если на auth без куки - next()
  
• если на auth с куки - 200, можно ещё куке обновить срок годности
  
• если другой роут без куки - 401
  
• если другой роут с куки - next()
  

Можно не куку, а токен проверять и что ещё нужно.

Второй вариант, можно использовать разные middleware для разных роутов.

Comments

[historydev]

export function jwt_authentication_controller(req: Request, res: Response, next: NextFunction) {

	const header = req.headers['authentication'];
	const JWT_secret = process.env['JWT_SECRET'];

	if(JWT_secret) {
		JWT.verify(header?.toString() || '', JWT_secret, (err, data) => {
			if(err) {
				console.log(err);
				if(req.originalUrl !== '/auth') res.redirect('/auth');
				else next();
				return;
			}

			res.locals['user'] = data;
			return next();
		});

		return;
	}

	res.sendStatus(502);
	res.end();

	return;
}

[historydev]

Такс, я вроде сделал, однако остаётся проблема с роутером ангуляра, при перезагрузке страницы всё отрабатывает, а при роутинге - нет. Я почитал про ssr, думаю стоит добавлять или нет: https://angular.io/guide/universal

[Андрей К]

Если это SPA, то Angular живёт отдельно своей жизнью.

Он сам смотрит, если пользователь залогинен, то показывает одно, нет, другое.

Но также обрабатывает, наши сервер уже будет считать, что сессия закончилась и приходит 401, то нужно показать страницу авторизации, чтобы войти заново.

Universal - это вообще для другого, это для оптимизации для Гугл и Яндекс, но клиентского приложения, сервер остаётся отдельно.

[Андрей К]

1. Если это SPA, то сервер не шлёт редирект, он только говорит статус, а уже клиент решает что с этим делать.

2. Если у тебя нету дальше нету логики, которую ты пытаешься прервать по какому-то условию, и не возвращаешь какое-то значение, то return не ставят.

[Андрей К]

Ещё момент зачем тебе JWT?