Проверка токена jwt в файле роутера

Question

Я создал Rest Api, который выполняет некоторые запросы к базе данных mysql. API принимается через CLI, построенный с Oclif. Я пытаюсь проверить токен, прежде чем запросы будут выполнены. Я хочу сделать проверку в том же файле (маршруты. js). Этот файл выглядит следующим образом:

module.exports = app => {
  const entry = require("../controlers/entry.controller.js");
  const sql = require("../models/db.js");
  const bcrypt = require('bcrypt');
  var express=require('express');

  // Retrieve a single Entry with Id
  var fs=require('fs');
  var privateKey = fs.readFileSync('private.key');
  var jwt=require('express-jwt');
  app.use(
    jwt({
      secret: privateKey,
      credentialsRequired: false,
      getToken: function fromHeaderOrQuerystring (req) {
        if (req.headers.authorization && req.headers.authorization.split(' ')[0] === 'Bearer') {
            return req.headers.authorization.split(' ')[1];
        } else if (req.query && req.query.token) {
          return req.query.token;
        }
        return null;
      }
    }));


  app.get("/entry/:Id", entry.findOne);

  app.post("/energy/api/Login", function(req,res){ 
        var jwt=require('jsonwebtoken');
        sql.query(`SELECT user,pass,quota,apikey,email FROM users WHERE user=?`,[req.query.username],(err,res1) => {
            //console.log(res1);
            const password=res1[0].pass;
            const e=res1[0].email;
            const a=res1[0].apikey;
            const q=res1[0].quota;
            const p=res1[0].privileges;
            if(bcrypt.compareSync(req.query.passw,password)){
                var jwt=require('jsonwebtoken');
                var privateKey = fs.readFileSync('private.key');
                var token = jwt.sign({user:req.query.user ,passw: req.query.passw,email: e, quota: q,apikey: a,privileges: p }, privateKey, { algorithm: 'HS256' });
                res.status(200).send(token);
            }
            else res.status(400).send("Bad Request");
        });

  });

В части входа в систему я создаю токен и возвращаю его в CLI. Затем cli делает что-то вроде этого:

axios.defaults.headers.common['X-OBSERVATORY-AUTH']="Bearer " + token;
    await cli.anykey();
    //create new user
    if (`${flags.newuser}` !== "undefined" && `${flags.passw}` !== "undefined" && `${flags.email}` !== "undefined" && `${flags.quota}` !== "undefined" ){
            let hash = bcrypt.hashSync(`${flags.passw}`,10);
            await axios.post('https://localhost:8765/energy/api/Admin/users?username=' +`${flags.newuser}` +'&passw=' + hash +'&email=' + `${flags.email}`  +'&quota=' + `${flags.quota}`);

    }

Однако, когда файл route. js получает команду post, он обрабатывает ее следующим образом:

app.put("/energy/api/Admin/users/:username",async function(req,res){        
            if (req.params.username !== "undefined" && req.query.email !== "undefined" && req.query.quota !== "undefined"){ 
                console.log(req.params.username);
                sql.query(`UPDATE users SET pass=?,email=?,quota=? WHERE user=?`,[req.query.passw,req.query.email,req.query.quota,req.params.username],(err,res) => {
                            if (err) {
                              console.log("error: ", err);
                              result(err, null);
                              return;
                            }
            });
            }
            res.send("Successful");
  });

Я хочу добавить несколько промежуточное программное обеспечение для проверки токена, а также проверки, является ли квота параметра> 0 и уменьшается ли она на единицу. Как я могу это сделать?

Декларация : Этот код записан в node.js, express. js

Answer 1

Вы можете написать специальное промежуточное программное обеспечение, например, так:

const jwt = require('jsonwebtoken');

export async function verifyJWTToken(request, response, next) {
/*
* Normally JWTs are specified as Bearer Tokens.
* Authorization Header will have something like 'Bearer <token>' 
*/
  const header = request.headers.authorization;
  if (header && header.startsWith('Bearer ')) { tokens
    const token = header.slice(7, header.length);
    const secret = process.env.JWT_SECRET;
    try {
      jwt.verify(token, secret);
      next();
    } catch (error) {
      next(new Error('Authentication Failed'));
    }
  } else {
    next(new Error('Missing Authentication Token'));
  }
}

Затем вы можете защитить свои маршруты, предоставив промежуточное программное обеспечение перед работой контроллера:

app.route('/users').get(verifyJWTToken, getUsers) //getUsers() is the controller function

Answer 2

Прежде всего, ваш код не модульный. И вы должны написать промежуточное программное обеспечение для защиты маршрутов, а не глобальное промежуточное программное обеспечение

Я думаю, этот проект поможет вам понять код jwt, express (https://github.com/ahari884/simple-node-boilerplate ) Пожалуйста, проверьте, вы найдете, как написать аутентификацию jwt для маршрутов в express