【发布时间】:2016-01-02 19:20:43
【问题描述】:
我想我误解了令牌应该如何发布。我每次都得到一个 403,即使它实际上是在尝试传递令牌。
这是服务器代码
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var redis = require('redis');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var ejs = require('ejs');
var csrf = require('csurf');
var util = require('./public/javascripts/utilities');
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var loginProcess = require('./public/javascripts/login.js').loginProcess;
// var loginProcess = require('./public/javascripts/login.js')
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
secret: 'secret',
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf());
app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login',
login,
loginProcess);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
登录路径是
var express = require('express');
var router = express.Router();
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login'});
next();
});
这是我在 var util 中得到的内容
module.exports.csrf = function csrf(req, res, next){
res.locals.csrftoken = req.csrfToken();
next();
};
我也在使用 ejs,在我的表单方法='post'之后有这个
<input type="hidden" name="_csrf" value="<%= csrfToken %>>"
每当它返回403时,表单数据至少得到输入的名称
_csrf:
用户名:测试
密码:>9000
但是如你所见,它是空白的
我也不确定 res.locals.csrftoken 是否被传递到登录路由,所以我也尝试使用 router.post 直接将其添加到那里,但出现此错误
错误:发送后无法设置标头。
我几乎浏览了所有我能找到的与此相关的帖子。我要么没有为我所缺少的东西建立逻辑联系,要么完全误解了某些东西。两者都是完全合理的,我的钱在第二个。随意制作任何东西,为什么你要那样做 - 那样 - cmets,因为我很可能是出于无知而这样做,而这些 cmets 对学习过程有好处。提前致谢。
编辑:删除我的实用程序函数并遵循正确的“csurf”文档成功地将 csrf 令牌传递到我的 /login 视图。
我越来越近了,但还是错了,但这可能会说明我在哪里感到困惑。
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
next();
};
router.post('/', loginProcess);
module.exports = router;为什么这会将我重定向到 404 页面?
因为我在测试之前没有删除我的身份验证步骤。
另外,我知道这是在纯文本中发送 un & pw 以及 csrf 令牌,这不是 bueno。我最终会谈到这一点。
我所做的事情是在提交用户名和密码时尝试设置标题。
错误:发送后无法设置标头。
我以为是我的 loginProcess 函数,但是去掉了 next(),或者添加了 res.end();没有帮助
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
res.end();
};
edit 你不能像那样使用 res.send 和 res.json ,因为它们在技术上都是发送的,你不能发送 headers+body 然后再次发送 headers+body。
令牌是自动发送的,所以我删除了 res.json(req.csrfToken();
但是在某处我没有正确重定向帖子。我只是得到一个空白页,其中包含输入的用户名和密码。
编辑:
好吧。所以一切似乎都在正常工作。这是更新的代码。
login.js
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
var isAuth = auth(req.body.username, req.body.password, req.session)
if (isAuth){
res.redirect('/chat');
}else{
res.redirect('/login');
}
};
router.post('/', loginProcess);
router.get('/logout', out);
module.exports = router;app.js
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var chat = require('./routes/chat');
//var loginProcess = require('./public/javascripts/login.js').loginProcess;
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
secret: 'secret',
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf({ cookie: true }));
// app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login', login);
app.use('/chat', [util.requireAuthentication], chat);我还有很多清理工作,但至少可以正常工作。 非常感谢@Swaraj Giri
【问题讨论】: