Ank*_*ush 5 javascript authentication local-storage node.js angular
我使用Angular 2实现了一个登录页面.登录后,我从服务器获取jsonwebtoken,userId,userRole,userName.我将此信息存储在localstorage中,以便我可以随时访问它并在用户刷新页面时保持登录状态.
AuthService.ts
import {Injectable} from "@angular/core";
@Injectable()
export class AuthService {
redirectUrl: string;
logout() {
localStorage.clear();
}
isLoggedIn() {
return localStorage.getItem('token') !== null;
}
isAdmin() {
return localStorage.getItem('role') === 'admin';
}
isUser() {
return localStorage.getItem('role') === 'user';
}
}
要检查登录状态,我只是检查localstorage中是否存在令牌.由于localstorage是可编辑的,因此只需在localstorage中添加任何令牌即可绕过登录页面.同样,如果客户端在localstorage中编辑用户角色,客户端可以轻松访问管理员或用户页面.
我该如何解决这些问题?
这更像是一般问题,我想知道网站如何保持登录状态?
PS NodeJS Server端登录代码生成jsonwebtoken
const jwt = require('jsonwebtoken');
const User = require('../models/User');
/**
* POST /login
* Sign in using username and password
*/
exports.postLogin = (req, res, next) => {
User.findOne({username: req.body.username})
.then(user=> {
if (!user) {
res.status(401);
throw new Error('Invalid username');
}
return user.comparePassword(req.body.password)
.then(isMatch=> {
if (isMatch != true) {
res.status(401);
throw new Error('Invalid password');
}
let token = jwt.sign({user: user}, process.env.JWT_SECRET, {
expiresIn: process.env.JWT_TIMEOUT
});
return res.status(200).json({
success: true,
token: token,
userId: user._id,
role:user.role,
name:user.name
});
});
})
.catch(err=>next(err));
};
-谢谢
| 归档时间: |
|
| 查看次数: |
588 次 |
| 最近记录: |