我想我误解了令牌的发布方式 . 我每次只得到403,即使它实际上是在尝试传递令牌 .
这是服务器代码
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var redis = require('redis');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var ejs = require('ejs');
var csrf = require('csurf');
var util = require('./public/javascripts/utilities');
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var loginProcess = require('./public/javascripts/login.js').loginProcess;
// var loginProcess = require('./public/javascripts/login.js')
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
secret: 'secret',
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf());
app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login',
login,
loginProcess);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
登录路线是
var express = require('express');
var router = express.Router();
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login'});
next();
});
这是我在var util中得到的
module.exports.csrf = function csrf(req, res, next){
res.locals.csrftoken = req.csrfToken();
next();
};
我也在使用ejs,并在我的表单方法='post'之后使用它
<input type="hidden" name="_csrf" value="<%= csrfToken %>>"
每当它返回403时,表单数据至少得到输入的名称
_csrf:
用户名:测试
密码:> 9000
但正如你所看到的,它是空白的
我也不确定res.locals.csrftoken是否被传递到登录路由,所以我也尝试使用router.post直接添加它,但是得到了这个错误
错误:发送后无法设置标头 .
我几乎每个帖子都经历过这个我能找到的帖子 . 我或者要么没有为我所缺少的东西 Build 逻辑联系,要么完全误解了某些东西 . 两者都是合理的,我的钱在第二个 . 随意做出任何一个,为什么你在世界上这样做 - 那样 - 评论,因为我很有可能是出于无知,这些评论对学习过程有好处 . 提前致谢 .
edit :删除我的实用程序功能并按照正确的'csurf' docs成功将csrf令牌传递给我的/ login视图 .
我越来越近了,但仍然错了,但这可能会让我对我感到困惑的地方有所了解 .
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
next();
};
router.post('/', loginProcess);
module.exports = router;
为什么会将我重定向到404页面?因为我在测试之前没有删除我的身份验证步骤 .
另外,我知道这是用纯文本和csrf令牌发送un&pw而且没有bueno . 我最终会这样做 .
我做的事情是在提交用户名和密码时尝试设置 Headers .
错误:发送后无法设置标头 .
我认为这是我的loginProcess函数,但删除next(),或添加res.end();没有帮助
function loginProcess(req, res, next){
console.log(req.body);
res.send(req.body.username + ' ' + req.body.password);
res.json(req.csrfToken());
res.end();
};
edit 你可以't use res.send and res.json like that because they'技术上发送,你不能发送 Headers 正文然后再发送 Headers 正文 .
令牌自动发送,所以我删除了res.json(req.csrfToken();
但在某些地方,我没有正确地重定向到帖子 . 我只是得到一个空白页面,其中包含输入的用户名和密码 .
edit:
Hokay . 所以一切似乎都正常 . 这是更新的代码 .
login.js
var express = require('express');
var router = express.Router();
/* GET login listing. */
router.get('/', function(req, res, next) {
res.render('login', {title: 'Login', csrfToken: req.csrfToken() });
});
function loginProcess(req, res, next){
var isAuth = auth(req.body.username, req.body.password, req.session)
if (isAuth){
res.redirect('/chat');
}else{
res.redirect('/login');
}
};
router.post('/', loginProcess);
router.get('/logout', out);
module.exports = router;
app.js
var routes = require('./routes/index');
var users = require('./routes/users');
var login = require('./routes/login');
var chat = require('./routes/chat');
//var loginProcess = require('./public/javascripts/login.js').loginProcess;
var client = redis.createClient();
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(express.static(path.join(__dirname, '/public')));
app.use(cookieParser('secret'));
app.use(session(
{
secret: 'secret',
store: new RedisStore({ host: 'localhost', port: 6379, client: client }),
saveUninitialized: true,
resave: false
}
));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrf({ cookie: true }));
// app.use(util.csrf);
app.use(util.authenticated);
app.use('/', routes);
app.use('/users', users);
app.use('/login', login);
app.use('/chat', [util.requireAuthentication], chat);
我还有很多清理工作,但它至少是功能性的 . 非常感谢@Swaraj Giri
1 回答
什么是
app.use(util.csrf);
?猜猜你需要删除它 .来自csurf的文档,
你需要设置
csrf({ cookie: true })
. 这将crsf值设置为req.body._csrf
.然后你需要将
{ csrfToken: req.csrfToken() }
传递给登录页面的视图 .在login.js中