Как выполнить проверку против определенного значения payload в express-jwt?

Question

[heducose]

Привет. Пытаюсь заменить passport-jwt на express-jwt и не могу из их докментации понять как его юзать?

ВОт примерно такой код у меня на Пасспорте

const jwtOptions = {
  jwtFromRequest: ExtractJwt.fromHeader('authorization'),
  secretOrKey: process.env.SECRET
}

const jwtLogin = new JwtStrategy(jwtOptions, function (payload, done) {
  User.findById(payload.sub, function (err, user) {
    if (err) { return done (err, false) }
    if (user) {
      done (null, user)
    } else {
      done (null, false)
    }
  })
})

Собвтсвенно сам роут

const requireAuth = passport.authenticate('jwt', { session: false })

router.get('/demo', requireAuth, function (req, res) {
   res.send({hi: 'SECRET test authorization of registered user'})
})

Проблема в том, что я не могу понять как выполнить проверку express-jwt против значения sub?

router.get('/demo', jwt({ secret: process.env.SECRET }), function (req, res) {
  res.send({hi: 'SECRET test authorization of registered user'})
})

Comments

[Larisa Moroz]

Что у вас в req приходит?

The JWT authentication middleware authenticates callers using a JWT. If the token is valid, req.user will be set with the JSON object decoded to be used by later middleware for authorization and access control.

app.get('/protected',
  jwt({secret: 'shhhhhhared-secret'}),
  function(req, res) {
    if (!req.user.admin) return res.sendStatus(401);
    res.sendStatus(200);
  });

https://github.com/auth0/express-jwt

[heducose]

Larisa Moroz: приходит что надо, в том числе и sub. Я же написал, нету примеров в доках, зачем вы мне ссылку даете и пример оттуда? ВОт смотрите, я не могу провести валидацию против моей базы, почему не работает?

app.use(
  jwt({ secret: process.env.SECRET }).unless({
  path: [
    '/signin',
    '/signup'
  ],
  function (req, res) {
    User.findById(req.user.sub, function (err, user) {
      if (err) { return done (err, false) }
      if (user) {
        done (null, user)
      } else {
        done (null, false)
      }
    })
  }
}))

[heducose]

Как туда запихнуть проверку с данными из Монги? Я вообще не поцму устройства этой библиотеки. И ни одного реального примера. И эти люди на днях собрали 30 млн финансирования.

Answer 1

[Александр Кузнецов]

var jwt = require('express-jwt');

app.get('/protected',
  jwt({secret: 'shhhhhhared-secret'}),
  function(req, res) {
    if (!req.user.admin) return res.sendStatus(401);
    res.sendStatus(200);
  });

Если я правильно понял, jwt({secret: 'shhhhhhared-secret'}), говорит нам о том, что при доступе к '/protect' нужно применить middleware jwt с настройками {secret: 'shhhhhhared-secret'} и расшифровать HMAC-токен с использованием секретной фразы 'shhhhhhared-secret', потом пихнуть полученную учетку в запрос.

Внутри же

function(req, res) {
    if (!req.user.admin) return res.sendStatus(401);
    res.sendStatus(200);
  }

вы получаете req и пользователя, и проверяете уже доступ на основание данных учетки.

Comments

[heducose]

Да, примерно так и есть. У меня были трудности именно в последующей проверки из БД. Вот тут вроде разобрался - Почему код перестает работать, после выноса в отдельный контроллер?