访问受保护的路线

I just started using JWT. I do the login and I send the token as a JSON response to the client. Upon successful login I store that to sessionStorage and then I use that token to access the protected route through the headers of another ajax call(GET) which on success will redirect to that page.

I started by protecting directly the route I am redirecting too, and had no /verify-user route but since on redirection the headers are not sent I found this solution only for verifying the token. However I don't know if this is the good way.

What do you think?

My login on the client:

   // Login POST 
    $('#frm-login').submit(function (e) {
        event.preventDefault()
        $('button').text('Please wait ...').prop('disabled')
        $.ajax({
            url: "/login-user",
            type: "POST",
            data: $('#frm-login').serialize(),
            dataType: "json"
        }).always(function (response) {
            $('button').text('Logging in').prop('disabled')
            console.log("Login", response)
            if (response.status == "error") {
                $('button').removeClass('lime').addClass('red').text('Log in failed. Try again.');
                return
            }
            localStorage.setItem('token', response.token);
            console.log(localStorage.token)
            $.ajax({
                type: "GET",
                url: "/verify-user",
                headers: {
                    'Authorization': 'Bearer ' + localStorage.token
                }
            }).always(function (response) {
                console.log("Access", response)
                if (response.status == "error") {
                    $('button').removeClass('lime').addClass('red').text('Log in failed. Try again.');
                    return
                }
                if (response.status == 301) {
                    $(location).attr('pathname', '/LIMELine/chatroom/');
                    //$('img#profile-img').attr('src', response.responseText.authData.user.avatar)
                    console.log(response)
                }
            });
        })
    })

My login on the server:

/********************* LOGIN *********************/

app.post('/login-user', (req, res) => {
    user.loginUser(req.body, (err, jResult) => {
        if (err) {
            return res.send(jResult)
        }
        let token = jwt.sign({
            user: jResult,
        }, "supersecret")
        console.log(token);
        return res.json({
            token: token
        })
        //add other headers here...
    })
})

/********************* VERIFY USER *********************/

app.get('/verify-user', verifyToken, (req, res) => {

    jwt.verify(req.token, "supersecret", (err, authData) => {
        if (err) {
            return res.status(403).json({
                message: "No token found"
            });
        }
        return res.status(301).json({
            authData
        });
    })
})

The protected route, which the user should see when logs in

// *********************   MAIN PAGE *********************************************

app.get('/LimeLINE/chatroom' (req, res) => {
            try {
            // CODE FOR CONTENT OF THE PAGE
            return res.json({
                authData
            });
        }
    })
})

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
weixin_33738578 2018-05-17 07:41
关注
If you are making a full page redirect (not through ajax but automatically through the browser, like when clicking an untempered anchor tag) the browser won't automatically send the Authorization HTTP header.

You can either start sending the JWT token using a cookie (which is less standard and ties the client to being a browser but will happen automatically on all full page and AJAX calls) or handle the redirect yourself through the ajax call. Another "hybrid" solution would be to enable both Authorization header AND cookie as valid authorization methods.

IMO it all depends if your server should accept non browser client currently or in the near future.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

访问受保护的变量键和值 php symfony
2014-06-13 22:59

回答 1 已采纳 Presumably the class UserEntity has getters and setters defined for its properties so to access th
PHP从父级访问Child的受保护值 php
2016-11-02 04:15

回答 1 已采纳 This is a very classical use-case of late static binding. Simply replace keyword "self" in the pa
如何在同一个类的静态方法中访问类的受保护变量？ php
2017-12-30 13:22

回答 1 已采纳 You can do it like this: public static function getMenuTitle(&$PopupsAdminSettingsPage) { echo
svelte-protected-routes:SCard.svelte的受保护路线
2021-05-27 09:39

在Web开发中，受保护的路由是指只有当用户经过身份验证并拥有相应权限时才能访问的页面或组件。这通常涉及到登录系统、会话管理以及与后端服务的交互，以验证用户凭证并管理用户角色。在`svelte-protected-routes`...
ILDASM反编译提示受保护的模块无法进行反汇编 c#
2018-04-04 05:48

回答 1 已采纳 ILDASM默认存在SuppressIldasmAttribute属性，当使用ILDASM反汇编的程序集包含SuppressIldasmAttribute属性时，会报错“受保护的模块无法进行反汇编”
如何从雄辩的请求中访问受保护的属性 php
2015-09-07 11:30

回答 1 已采纳 Finally figured it out. What I should have been writing was: $ipam = Ipam::where('id','=',130152
c＃调用c++尝试读取或写入受保护的内存 c# c++
2023-02-28 19:26

回答 1 已采纳该回答引用ChatGPT 要了解C#调用C++的整个过程，建议按照以下步骤逐步学习：了解C#和C++的基本语法和编程概念。了解它们各自的特点，包括语法、数据类型、内存管理等。了解C#和C++之间
如何实现前端路由保护？
2024-07-19 17:39

DTcode7的博客路由保护的核心是在路由跳转之前执行一些逻辑，如检查用户是否已登录，是否有相应的权限，然后决定是否允许访问目标页面。希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言...
Apache 实现主程序index.php不受限制访问被保护的目录，但是不允许用户直接访问被保护文件夹 apache nginx web安全
2022-12-30 09:42

回答 1 已采纳其实可以用nginx反代一下，就可以起到保护内部数据的效果
让WODR保护某个字体不受编辑 python 个人开发其他有问必答
2021-11-11 17:05

回答 1 已采纳审阅-限制编辑
PHP抽象类和受保护的方法 php
2017-01-28 14:49

回答 1 已采纳 At line 38 you make an instance of class A1, so the constructor is called: it is the function a1()
web前端面试题（必背面试题）
2022-05-25 21:38

Z_Xshan的博客必背面试题-手写题前端面试（手写题）_Z_Xshan的博客-CSDN博客 css系列面试官：说说你对盒子模型的理解一、是什么所有元素都可以有像盒子一样的平面空间和外形一个盒子由四部分组成：context ,padding,margin,...
通过cURL抓取受保护的内容 php
2016-06-03 03:13

回答 2 已采纳 Definitely. The server may be denying any login attempt not containing a token value issued by the
前端框架 Vue
2023-03-27 19:49

qq_繁华的博客前端框架 Vue
大学四年零基础自学Java的路线
2020-09-02 12:14

敖丙的博客前言自学/学习路线这样的一期我想写很久了，因为一直想写的全一点硬核一点所以拖到了现在，我相信这一期对不管是还在学校还是已经工作的同学都有所帮助，不管是前端还是后端我都墙裂建议大家看完，因为这样会让你...
没有解决我的问题, 去提问

悬赏问题

¥15 metadata提取的PDF元数据，如何转换为一个Excel
¥15 关于arduino编程toCharArray()函数的使用
¥100 vc++混合CEF采用CLR方式编译报错
¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误，如何解决？
¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
¥15 c#逐行读取txt文本，但是每一行里面数据之间空格数量不同
¥50 如何openEuler 22.03上安装配置drbd
¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
¥15 无线连接树莓派，无法执行update，如何解决？（相关搜索：软件下载）
¥15 Windows11, backspace, enter, space键失灵

访问受保护的路线

1条回答 默认 最新

悬赏问题

1条回答默认最新