Не могу понять ошибку при авторизации nodejs express jwt passport?

Question

[E-em]

Всем привет, разбираюсь потихоньку нодой и с тем как сделать нормальную авторизацию jwt + passport,

осталась одна ошибка: если правильно ввожу данные и делаю запрос на /login, выдает токен, потом когда пытаюсь сделать get запрос на адрес который требует токен, я получаю 401 Unauthorized хотя добавляю Authorization хедер с токеном

Паспорт

const JwtStrategy = require('passport-jwt').Strategy;
const ExtractJwt = require('passport-jwt').ExtractJwt;
const User = require('../models/user');
const config = require('./index');

module.exports = function(passport) {
    const jwtOptions = {
        jwtFromRequest: ExtractJwt.fromAuthHeader(),
        secretOrKey: config.secret
    };
    passport.use(new JwtStrategy(jwtOptions, function(payload, done) { 
        User.findById(payload.id, (error, user) => {
            if (error) {
                return done(error);
            }

            if (user) {
                return done(null, user);
            } else {
                return done(null, false);
            }

        });
    }));
}

Answer 1

[emp1re]

По первой ошибке все просто, я все не искал но вот

if (!user) response.json({ status: 400, message: 'User not found' });

Нужно выходить из функции т.е. делать return, ошибка говорит что ты пытаешься сделать response после того как он уже был сделан. Ищи места где ты на if делаешь 2 разных респонса.

По второму вопросу, не вижу serialize/deserialize суть паспорта, что он тебе в тело req достает юзера из базы, посмори если у тебя req.user если нету, то тебе нужно deserialize и затем через serialize будет проверяться и сессия и юзер.

Comments

[E-em]

я там коммент оставил, обычный кетч просто не работает, я добавил это для проверки, в идеале на сколько я понимаю промисы этим должен заниматся кетч

[emp1re]

E-em: Дело не в catch, у тебя отрабатывает If с response.json и затем идет выполнения кода дальше

[E-em]

emp1re: да это опечатка я поправил, я просто экспериментировал :) а почему кетч эти ошибки не отлавливает? или он другим занимается? но я же делаю запрос в бд на поиск юзера он возвращает промис если находит тогда попадает в then, а catch возвращает отказ, или не так? а то запутался тут

[emp1re]

E-em: Ну это же не ошибка, возвращается пустой массив, если не нашло юзера. Можно в теории создать свой ошибку через new Error(), но не думаю что это нормально, в основном никто не отрабатывает это как ошибку.

[E-em]

emp1re: да точно, спасибо сам бы ещё долго думал:), насчёт второго про сериалайзы в паспорте, я делал это подсматривая сюда https://habrahabr.ru/post/324066/

[emp1re]

E-em: по сессии сюда глянь https://www.npmjs.com/package/express-session нужно где-то хранить хешы.

[E-em]

emp1re: так это ж уже будет авторизация сессиями? а я пытаюсь освоить jwt

[emp1re]

E-em: jwt не юзал, не подскажу :)

[E-em]

emp1re: я понял, всё равно огромное спасибо, очень помогли, пока отмечать решением не буду, чтоб знали что ещё со второй проблемой не решено :/

Answer 2

[E-em]

сработало когда в header Authorization добавил не просто токен, а с приставкой JWT то есть вот так https://prnt.sc/ftmrr1