Toh*_*hid 8 node.js jwt passport-facebook mean-stack passport.js
我是Node.js开发的新手,目前正在空闲时间从事宠物项目.
到目前为止,我已经使用passport和passport-jwt为策略创建了JWT身份验证,我在所有RESTful API中都使用它.
现在我想把它与某种Facebook身份验证相结合仍然希望坚持使用令牌身份验证.
目前,这是我生成和获取令牌的方式:
exports.authenticate = function(req, res) {
User.findOne({
email: req.body.email
}, function(err, user) {
if (err)
return res.status(400).send(getErrorMessage(err));
if (!user) {
res.status(400).send({
success: false,
message: 'Authentication failed. User not found.'
});
} else {
if (user.checkPassword(req.body.password)) {
let token = jwt.encode(user, config.secretPhrase);
res.json({
success: true,
token: 'JWT ' + token
});
} else {
res.status(401).send({
success: false,
message: 'Authentication failed. Wrong password.'
});
}
}
});
};
app.route('/api/users/authenticate')
.post(user.authenticate);
并验证我执行以下操作:
let user = require('../../app/controllers/user-controller');
app.route('/api/todos')
.get(user.validateLogin, todos.list)
.post(user.validateLogin, todos.create);
用户控制器:
exports.validateLogin = passport.authenticate('jwt', {
session: false
});
任何人都可以建议一种巧妙的方式来混合这两种策略?我应该使用express-jwt吗?express-jwt和passport-jwt有什么区别?
小智 0
目前看来您正在将令牌发送回最终用户。你如何保存客户端?我建议使用简单的 JWT 库(如 jsonwebtoken),并将令牌设置为 httpOnly cookie。如果您当前将其保存在 localStorage 中,您可能更容易受到 XSS 攻击。以下是我目前如何处理用户设置和检查 JWT 的要点: https ://gist.github.com/briancw/8c2021817c3bd34972e8e8deb6048a4f
| 归档时间: |
|
| 查看次数: |
856 次 |
| 最近记录: |