如何使用JWT和Passport正确使用nodeJs API的身份验证？

Question

我正在使用JWT-simple验证我的快递路线。

服务器侧：

var jwt = require('jwt-simple'); 
var bcrypt = require('bcrypt'); 
var passport = require('passport'); 

require('../passport')(passport); 

/* Create an Account */ 
router.post('/signup', function (req, res, next) { 
    var verifyCode = Math.random().toString(36).slice(-8); 
    var userData = { 
     name: req.body.name, 
     email: req.body.email, 
     phone: req.body.contact, 
     password: req.body.password, 
     verify_code: verifyCode, 
     status: 0 
    }; 

    loginService.createUser(userData, function (err, data) { 
      if (err) { 
       res.status(500).json({error: true, data: {message: err.message}}); 
      } else { 
       var token = jwt.encode(data, "secret"); 
       res.json({success: true, data: {token: 'JWT ' + token}}); 
      } 
     }); 
}); 
/* GET the info of an API using the jwt token data */ 
router.get('/info', passport.authenticate('jwt', {session: false}), function (req, res, next) { 
    var token = tokenRetrive.getToken(req.headers); 
    if (token) { 
     var decoded = jwt.decode(token, configVar.config.secret); 
     UserService.getContentUserById(decoded.id, function (err, user) { 
      if (err) { 
       res.status(500).json({error: true, data: {message: err.message}}); 
      } else { 
       if (!user) { 
        res.send({success: false, msg: 'Authentication failed. User not found.'}); 
       } else { 
        if (!user) { 
         return res.status(403).send({success: false, msg: 'Authentication failed. User not found.'}); 
        } else { 
         res.json({success: true, data: user.toJSON()}); 
        } 
       } 
      } 
     }); 
    } else { 
     return res.status(403).send({success: false, msg: 'No token provided.'}); 
    } 
}); 

客户端

var signup = function(user) { 
      return $q(function(resolve, reject) { 
       $http.post(API_ENDPOINT.url + '/signup', user).then(function(result) { 
        if (result.data.success) { 
         storeUserCredentials(result.data.data.token); 
         resolve(result.data); 
        } else { 
         reject(result.data.msg); 
        } 
       }); 
      }); 
     }; 

function storeUserCredentials(token) { 
      window.localStorage.setItem(TOKEN_KEY, token); 
      var loggedIn_user_Data = jwt_decode(token); 
      $http.defaults.headers.common.Authorization = token; 
     } 

使用REST客户端（邮差）当我通过头信息到API我使用

API ：localhost：8080/info

重点

Authorization 
Content-Type 

价值

JWT eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiYXR1bCIsImVtYWlsIjoidHJlZUB0cmVlLmNvbSIsInBob25lIjpudWxsLCJwYXNzd29yZCI6IiQyYSQxMCRIQVJPTy5PUEdYWFBvVktXOVhmYnZldkJRWldRaXNJa2JpT09WZHlsNmZxMlF2aURPOExBYSIsInZlcmlmeV9jb2RlIjoiMHdkZWlwYjkiLCJzdGF0dXMiOiIiLCJpZCI6MTYsImFkZHJlc3MiOm51bGwsImNvdW50cnkiOm51bGwsInN0YXRlIjpudWxsLCJwaW5jb2RlIjpudWxsLCJvcmdfaWQiOjAsInJvbGVzIjpudWxsLCJjcmVhdGVfZGF0ZSI6IjIwMTctMDUtMThUMTk6NTE6MDYuMDAwWiIsImxhc3RfbG9naW4iOiIyMDE3LTA1LTE4VDE5OjUxOjA2LjAwMFoiLCJhdmF0YXJfdXJsIjpudWxsfQ.umxBRd2sazaADSDOW0e8rO5mKDpQYIK1hsaQMZriZFE 

application/json 

以上API给了我只有在正确的令牌传递的数据，似乎工作的罚款。

然而，在客户端，我可以得到令牌检索使用JWT解码，而不使用在客户端的任何秘密，如果令牌是由中间人抓什么，怎样才能安全得到增强？
有我丢失的东西要有正确使用智威汤逊对我的节点API路线？

有些地方我看到当我尝试使用承载我得到验证错误后，得到信息的授权作为bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiYXR1bCIsImVtYWlsIjoidHJlZUB0cmVlLmNvbSIsInBob25lIjpudWxsLCJwYXNzd29yZCI6IiQyYSQxMCRIQVJPTy5PUEdYWFBvVktXOVhmYnZldk 通过。 什么是这个持票人和JWT被传递到头值？

我正在使用passport-jwt var JwtStrategy = require（'passport-jwt'）。

Answer 1

要使用JWT令牌，你必须使用SSL（HTTPS）。没有它，你根本就没有保护。

JWT令牌签署（检查site）。所以如果有人（中间人）试图改变它，它将会失效。

智威汤逊和承载是基本相同的事情。它们只是authorization标题的auth scheme。

的“智威汤逊auth scheme是passport-jwt的默认。 如果你想改变它，你可以使用不同的jwtFromRequest值。

参见：

new Strategy({ ... jwtFromRequest: ExtractJwt.fromAuthHeaderWithScheme('Bearer') ... }, verifyFunction)

希望其明确的。