Node.js、Vue.js 和 Passport.js。 .isAuthenticated() 总是返回 false？ Axios 标头可能吗？

Question

我正在将一个项目转移到 Vue.js，但我无法使用任何中间件来检查用户是否已登录或检查用户对工作的所有权。在无休止地搜索之后，我认为问题在于我从客户端发送到服务器的标头不包含护照序列化用户之类的东西？我怎样才能做到这一点？

这是我在后端的登录路径：

      router.post("/login", function (req, res, next) {
    if (!req.body.username || !req.body.password) {
      res.send("Error");
    } else if(req.body.username.length > 40 || req.body.password.length > 40){
      res.send("Error");
    } else if (req.body.username) {
      req.body.username = req.body.username.toLowerCase();
      next();
    }
  }, passport.authenticate('local', {
    failureRedirect: '/login'
  }), function(req, res){
        User.findById(req.user.id, function(err, user){
          if(err){
            res.send("User not found");
          } else {
            res.send(user.toJSON());
          }
        })
  });

这是我在客户端的登录页面：

          async login () {
          const response = await AuthenticationService.login({
                username: this.username,
                password: this.password,
            })
            if(response.data == "Error"){
                this.$router.push({
                    name: 'login'
                })
            } else {
            this.$store.dispatch('setUser', response.data._id);
            this.$router.push({
                name: 'home'
            })
            }
        }

这是 AuthenticationService.login 引用的 axios 调用：

    login(credentials){
    return Api().post('login', credentials);
},

Api 来自：

import axios from 'axios';

 export default function(){
   return axios.create({
      baseURL: `http://localhost:8081/`
   });
  }

那么在用户通过身份验证后，如何让前端向后端发送正确的标头？如您所见，我将用户 ID 存储在 vuex 状态中，但我认为使用它来确认所有权以及用户是否已登录并不安全，对吧？还是会？我可以很容易地在请求中发送它，对吗？我觉得这还不够安全，但我在说什么。

编辑：这是 app.js 中的护照设置

app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());
app.use(cors());
app.use(flash());
app.use(cookieParser());

app.use(express.session({ //5a6ba876578447262893ac69
    secret: "sessionSecret",
    resave: false,
    saveUninitialized: false
  }));
app.locals.moment = require('moment');
app.use(passport.initialize());
app.use(passport.session());
passport.use(new LocalStrategy(User.authenticate()));
passport.serializeUser(User.serializeUser());
passport.deserializeUser(User.deserializeUser());

Answer 1

requests.js

let axiosConfig = {
  withCredentials: true,
  headers: {
    'Content-Type': 'application/json',
    'Access-Control-Allow-Origin': 'http://localhost:3000/',
    'Access-Control-Allow-Methods': 'GET,PUT,POST,DELETE'
  }
}

server.js

var express  = require('express');
var app      = express();
var cors = require('cors');
app.use(cors({credentials: true, origin: 'http://localhost:8080'}))

app.use(cors({credentials: true, origin: 'http://localhost:8080'}))

Answer 2

您的问题是因为您的前端和后端位于不同的域上。

passport.session()/express.session() 用于维护用户会话的 Cookie 的范围仅限于特定域。

当您在受保护的资源上调用axios.get() 时，axios 不会发送或接收cookie，因为localhost:8080 与localhost:8081 是不同的域。

试试axios.get('/path/to/your/resource', { withCredentials: true }) 和axios.post('/login', { username, password }, { withCredentials: true })

只要您使用 AJAX 进行这些调用，即使没有 Vue，它也会存在。