Думаю, я неправильно понимаю, как токен должен публиковать. Я просто получаю 403 каждый раз, хотя на самом деле он пытается передать токен.
Вот код сервера
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var redis = require('redis');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var ejs = require('ejs');
var csrf = require('csurf');
var util = require('./public/javascripts/utilities');
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var loginProcess = require('./public/javascripts/login.js').loginProcess;
// var loginProcess = require('./public/javascripts/login.js')
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
secret: 'secret',
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf());
app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login',
login,
loginProcess);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
Маршрут входа в систему
var express = require('express');
var router = express.Router();
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login'});
next();
});
Вот что у меня есть в var util
module.exports.csrf = function csrf(req, res, next){
res.locals.csrftoken = req.csrfToken();
next();
};
Я также использую ejs, и это после моей формы method = 'post'
<input type="hidden" name="_csrf" value="<%= csrfToken %>>"
Всякий раз, когда он возвращает 403, данные формы, по крайней мере, получают имя ввода
_csrf:
имя пользователя: Test
пароль:> 9000
Но, как видите, пусто
Я также не был уверен, передается ли res.locals.csrftoken маршруту входа в систему, поэтому я также попытался добавить его прямо туда с помощью router.post, но получил эту ошибку
Ошибка: не удается установить заголовки после отправки.
Я просмотрел почти все сообщения об этом, которые смог найти. Я либо не нахожу логической связи с тем, что мне не хватает, либо что-то совершенно не понимаю. Оба вполне правдоподобны, мои деньги на втором. Не стесняйтесь делать любые, почему вы делаете это - таким образом - комментарии, потому что, скорее всего, я делаю это по незнанию, и эти комментарии полезны для процесса обучения. Заранее спасибо.
edit: удаление моей служебной функции и выполнение правильных документов csurf успешно передали токен csrf в представление my / login.
Я подхожу ближе, все еще ошибаюсь, но это может пролить свет на то, где я запутался.
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
next();
};
router.post('/', loginProcess);
module.exports = router;
Почему это перенаправляет меня на страницу 404? Потому что я не удалил шаг аутентификации перед тестированием.
Кроме того, я знаю, что это отправляет un & pw в виде обычного текста вместе с токеном csrf, и это не bueno. В конце концов я доберусь до этого.
Что-то, что я сделал, - это попытка установить заголовки при отправке имени пользователя и пароля.
Ошибка: не удается установить заголовки после отправки.
Я думал, что это моя функция loginProcess, но удалив next () или добавив res.end (); не помогло
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
res.end();
};
edit Вы не можете использовать res.send и res.json таким образом, потому что они оба технически отправляют, и вы не можете отправить заголовки + тело, а затем снова отправить заголовки + тело.
Токен отправляется автоматически, поэтому я удалил res.json (req.csrfToken ();
Но где-то я неправильно перенаправляю на пост. Я просто получаю пустую страницу с введенными логином и паролями.
изменить:
Хокай. Так что, похоже, все работает правильно. Вот обновленный код.
login.js
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
var isAuth = auth(req.body.username, req.body.password, req.session)
if (isAuth){
res.redirect('/chat');
}else{
res.redirect('/login');
}
};
router.post('/', loginProcess);
router.get('/logout', out);
module.exports = router;
app.js
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var chat = require('./routes/chat');
//var loginProcess = require('./public/javascripts/login.js').loginProcess;
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
secret: 'secret',
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf({ cookie: true }));
// app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login', login);
app.use('/chat', [util.requireAuthentication], chat);
У меня еще есть тонна очистки, но она, по крайней мере, функциональна. Большое спасибо @Swaraj Giri