api 调用受到另一个 api 调用验证的影响

Question

不太确定我的标题是否正确，但我的问题是我的 api 中有这个重置密码令牌检查器，它似乎受到另一个找到特定用户的 api 的影响，这个 api 有用户验证。

这是他们的样子：

//get specific user
router.get('/:id', validateToken, async (req, res) => {
    const id = req.params.id
    const user = await User.findByPk(id);
    res.json(user);
});

//reset-password token check
router.get('/reset-pass', async (req, res) => {
    await User.findOne({
        where: {
            resetPasswordToken: req.body.resetPasswordToken,
            resetPasswordExpires: {
                [Op.gt]: Date.now()
            }
        }
    }).then(user => {
        if(!user) {
            res.status(401).json({ error: 'Password reset link is invalid or has expired.'})
        } else {
            res.status(200).send({
                username: user.username,
                message: 'Password reset link Ok!'
            });
        }
    });
});

那么这里是 validateToken

const validateToken = (req, res, next) => {
    const accessToken = req.cookies['access-token'];

    if (!accessToken) 
        return res.status(401).json({error: 'User not authenticated!'});

    try {
         const validToken = verify(accessToken, JWT_SECRET)
         req.user = validToken;
         if(validToken) {
            req.authenticated = true;
            return next();
         }
    } catch(err) {
        res.clearCookie('access-token')
        return res.status(400).json({error: err}).redirect('/');
    }
};

当我注释掉获取特定用户 api 时，重置密码令牌检查有效。如果我删除 validateToken 它会返回 null 而不是给我用户名和消息。

Answer 1

我注意到的一件事是路由参数“/:id”，这意味着从字面上看，一切都将由特定用户处理，因为所有路由都以“/”开头，只使用参数在前缀为“/user/:id”的路由中，只有以“/user”开头的路由才会执行该代码。

将您的代码更改为：

//get specific user
router.get('/user/:id', validateToken, async (req, res) => {
    const id = req.params.id
    const user = await User.findByPk(id);
    res.json(user);
});