【发布时间】:2021-09-20 10:50:45
【问题描述】:
我有以下工作流程:
我有一个api/token [POST],它接受表单数据(电子邮件和密码)并返回和访问令牌以及刷新令牌。
然后我有另一个端点api/users/info [GET](带有标题'Authorization': 'Bearer ...)返回用户信息。在本地测试时,两个端点都可以工作。
在对我部署的服务器进行测试时,只有获取令牌的方法有效。
这是api/users/info的代码:
@API_BP.route('/users/info', methods=['GET'])
@fresh_jwt_required
def users_info():
user_identity = get_jwt_identity()
curr_user = (SDB.session.query(User)
.filter_by(email=user_identity).one_or_none())
return jsonify({
'greeting': 'Hello, World!',
'foo': 'bar',
})
此外,这是我的配置:
JWT_TOKEN_LOCATION = ['cookies', 'headers']
JWT_COOKIE_CSRF_PROTECT = True
JWT_COOKIE_SECURE = True
JWT_ACCESS_COOKIE_NAME = "my_access_cookie"
JWT_REFRESH_COOKIE_NAME = "my_refresh_cookie"
JWT_ACCESS_CSRF_COOKIE_NAME = "my_csrf_access_token"
JWT_REFRESH_CSRF_COOKIE_NAME = "my_csrf_refresh_token"
JWT_ACCESS_CSRF_HEADER_NAME = "X-MY-TOKEN"
我得到的错误是:
{
"msg": "Missing JWT in cookies or headers (Missing cookie \"my_access_cookie\"; Missing Authorization Header)"
}
我正在使用 Postman 来访问这些端点。我已在授权下设置了api/token 收到的令牌。这是python中的样子:
import requests
url = "http://my_url.com/api/users/info"
payload = {}
headers = {
'Authorization': 'Bearer eyJ0eXAiOiJKV1QiLCJhrtyuzI1NiJ9.eyJpYXQiOjE2MjU5MTg0MTEsIm5iZiI6MTYyNTkxODQxMSwianRpfghZi00YTcyLWIxZTYtZGMxYTRjNDhkOThhIiwiZXhwIjoxNjI1OTE5NjExLCJpZGVudGl0eSI6ImFsZnJlZG9Adml2ZWJlbmVmaXRzLmNvbSIsImZyZXNoIjp0cnVlLCsdfghXBlIjoiYWNjZXNzIiwiY3NyZiI6ImQyNTQ0NjY0LTFlOGUtNDY5NS1hY2I4LTE2MzIxMDZlNDY0MiJ9.WT-EWlMtZZKoNyiXYxa3xdfghjg7r7ys'
}
response = requests.request("GET", url, headers=headers, data = payload)
print(response.text.encode('utf8'))
如何确保第二个请求 GET 在 prod 中有效?
【问题讨论】:
-
您使用的是哪个 REST API 客户端?邮差?你能把里面的所有cookies都删掉吗?
-
你在底部代码中使用了 Bearer 令牌,而在你的配置中你有
JWT_ACCESS_COOKIE_NAME = "my_access_cookie"你能确保它们匹配 -
我正在使用邮递员来访问这些端点。再次发送到 localhost/prod 时会发生差异。它适用于本地而不是产品。我已清除所有 cookie。对于第二条评论,您是什么意思?将 Bearer 替换为
my_access_cookie? -
是的,我就是这个意思
-
我试过了。不用找了。我很确定配置仅在尝试通过 cookie 访问端点时才重要,而不是标题
标签: python jwt flask-jwt-extended flask-jwt