Авторизация с токеном JWT?

Question

[Suxoi]

Разрабатываю API, в котором сделал авторизацию через JWT, прикрутил TODO list, но как сделать так чтобы при запросе определенных ссылок, система говорила Вам нужно залогинится, прежде чем смотреть задачи и т.п... Как хранить токен и проверять его при каждом запросе?

Answer 1

[Александр Аксентьев]

Смысл в JWT - не хранить токен.
JWT надо расшифровать и превратить в "сессию". Точнее узнать юзера который скрывается за токеном.
Дальше работа как при обычной авторизации через сессию.
Если нет сессии - пользователь не авторизован, не даете ему ничего делать.
Есить есть сессия - доступ открыт.

Comments

[Suxoi]

Как такую сессию поднять?

[Александр Аксентьев]

Suxoi: это не сессии как бы.

Просто расшифровываете токен - запоминаете пока запрос не отработал, для вас это авторизованный пользователь.
После того как запрос кончился "забываете".
Каждый запрос к серверу токен расшифровывается и достается пользователь из базы или где там он у вас хранится.

[Suxoi]

Александр Аксентьев: Александр, я только начинаю осваивать NODE, не могу понять как каждый раз передовать токен который сгенерировался, где он должен хранится, чтобы потом можно было из него вытащить данные, так как нужны для записи в БД, можно на пальцах объяснить?
запустив сервер - server.js
в нем при регистрации сервера указываю стратегию
server.auth.strategy('token', 'jwt', {
key: privateKey,
validateFunc: validate
});
назначили какой то свой серкретный код, потом сделали проверку что он жив больше какого то времени

Сервер начинает обрабатывать запросы
{ method: 'POST', path: '/users/register', config: User.register},
{ method: 'POST', path: '/users/login', config: User.login},

{ method: 'GET', path: '/todos', config: Todo.view }

И вот отправляем через POstman, первый запрос на авторизацию, POST/users/login
обработка в модуле "User"

const secure = require('../routes/secure.js');

exports.login = { handler: function(request, reply) {
...
var token = secure.generateToken(user._id, user.userName) ;
reply(token)
...
{
"username": "user",
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjU3YjQyZDg5ZTI5MjlkYTg2MTVlYjhjMiIsInVzZXJuYW1lIjoidXNlciIsImlhdCI6MTQ3MTUwODQ4OX0.jNpJFWhJcL--x83QI69dhpPo9NVJV6oIVMehlOUZu8I",
"id": "57b42d89e2929da8615eb8c2"
}

Все гуд, Токен получен, дальше я делаю запрос на
GET/todos - и бам ошибка,
{
"statusCode": 401,
"error": "Unauthorized",
"message": "Missing authentication"
}
Задаю в хедер - Authorization - my Token
{
"statusCode": 400,
"error": "Bad Request",
"message": "Bad HTTP authentication header format"
}

Вот обработка GET/todos

exports.view = {
auth: 'token',
handler: function(request, reply) {

[Александр Аксентьев]

Suxoi: JWTтокен должен у клиента храниться.

Answer 2

[Suxoi]

Решение , нашел, точнее разобрался что не так делал с функцией проверки. Теперь все работает и все счастливы!

как правильно и говорили хранить токен не нужно, его разбирает функция. главное вернуть правильное значение и потом оперировать данными callback

var validate = (req, token, callback) => {
let err;

User.findOne({_id: token.id }, function(err, user) {
if (err) throw err;

if (!user) {
return callback(err, false, user);
}

return callback(err, true, user);
});
};

request.auth.credentials._id (Или любые значения которые впихнули в токен)