如何使用 HTTPOnly 访问服务器端的凭据?

【问题标题】:How can I access the credentials on the server-side with HTTPOnly?如何使用 HTTPOnly 访问服务器端的凭据?
【发布时间】:2021-04-07 10:26:44
【问题描述】:

我将 JWT 令牌作为 HTTPonly Cookie 从我的 React 应用程序发送到我的 express 服务器以授权用户。
令牌正在请求标头中发送,但我无法在服务器中间件中访问它。

这是应该处理授权的中间件,但我无法从标头访问 accessToken 并获取response status 403

const jwt = require("jsonwebtoken");
require("dotenv").config();

module.exports = function(req, res, next) {
  // Get token from header
  const token = req.header('accessToken');

  // Check if no token
  if (!token) {
    return res.status(403).json({ msg: "authorization denied" });
  }

  // Verify token
  try {
    //it is going to give use the user id (user:{id: user.id})
    const verify = jwt.verify(token, process.env.jwtSecret);

    req.user = verify.user;
    next();
  } catch (err) {
    res.status(401).json({ msg: "Token is not valid" });
  }
};

我使用 cors 并将凭据设置为 true,并将源设置为我的网络应用程序。

app.use(cors({origin: 'http://localhost:3001', credentials: true }));

这是我路线的重要部分:

const express = require('express');
const authorize = require('../middleware/authorize')

const router = express.Router();

router.get("/verify", authorize, (req, res) => {
    try {
      res.json(true);
    } catch (err) {
      console.error(err.message);
      res.status(500).send("Server error");
    }
  });

module.exports = router

这是我的 express.js 服务器:

'use strict';
require('dotenv').config();
const mongoose = require('mongoose')
const express = require('express');
const bodyParser = require('body-parser');
const cors = require('cors');
const app = express();
const cookieParser = require('cookie-parser');

//Import Routes
const userRoute = require('./routes/user')

app.use(cors({origin: 'http://localhost:3001', credentials: true }));
app.use(bodyParser.json());
app.use(cookieParser())
app.use('/account', userRoute);

//connect to db
mongoose.connect(
    process.env.DB_CONNECTION, 
    {
        useUnifiedTopology: true,
        useNewUrlParser: true
    },
    () => console.log('connected to db!')
);

app.listen(3000, ()=>{
    console.log("***********************************");
    console.log("API server listening at localhost:3000");
    console.log("***********************************");
  });

在此先感谢您的努力。

【问题讨论】:

  • 它不在 accessToken 标头中,它在一个名为 accessToken 的 cookie 中!
  • 你已经有了 cookie-parser 中间件,所以它应该在 req.cookies.accessToken!

标签: node.js express jwt express-jwt


【解决方案1】:

您的httpOnly cookie 作为cookies 来回发送,而不是作为它们自己的标题!由于您已经拥有 cookie-parser 中间件,您应该能够像这样获取访问令牌:

const token = req.cookies.accessToken;

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-11-26
    • 2022-11-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-07-21
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode