javascript - 环回 IO OAuth 不起作用-6ren

javascript - 环回 IO OAuth 不起作用

转载作者：太空宇宙更新时间：2023-11-04 02:28:33

我正在尝试启动并运行受 OAuth 保护的 https 环回服务器。我使用环回网关示例项目作为引用。但由于某种原因，我无法让 OAuth 部分工作。我的意思是，即使添加了 OAuth 的一些片段，API 似乎也没有受到保护。即使我的请求中没有 token ，我也会收到响应。这就是我的 server.js 的样子

var loopback = require('loopback');
var boot = require('loopback-boot');


var https = require('https');
var path = require('path');
var httpsRedirect = require('./middleware/https-redirect');
var site = require('./site');
var sslConfig = require('./ssl-config');

var options = {
  key: sslConfig.privateKey,
  cert: sslConfig.certificate
};

var app = module.exports = loopback();

// Set up the /favicon.ico
app.middleware('initial', loopback.favicon());

// request pre-processing middleware
app.middleware('initial', loopback.compress());

app.middleware('session', loopback.session({ saveUninitialized: true,
  resave: true, secret: 'keyboard cat' }));

// -- Add your pre-processing middleware here --

// boot scripts mount components like REST API
boot(app, __dirname);

// Redirect http requests to https
var httpsPort = app.get('https-port');
app.middleware('routes', httpsRedirect({httpsPort: httpsPort}));

var oauth2 = require('loopback-component-oauth2')(
  app, {
    // Data source for oAuth2 metadata persistence
    dataSource: app.dataSources.pg,
    loginPage: '/login', // The login page url
    loginPath: '/login' // The login processing url
  });

app.set('view engine', 'ejs');
app.set('views', path.join(__dirname, 'views'));

// Set up login/logout forms
app.get('/login', site.loginForm);

app.get('/logout', site.logout);
app.get('/account', site.account);
app.get('/callback', site.callbackPage);

var auth = oauth2.authenticate({session: false, scope: 'demo'});
app.use(['/protected', '/api', '/me', '/_internal'], auth);

app.get('/me', function(req, res) {
  // req.authInfo is set using the `info` argument supplied by
  // `BearerStrategy`.  It is typically used to indicate scope of the token,
  // and used in access control checks.  For illustrative purposes, this
  // example simply returns the scope in the response.
  res.json({ 'user_id': req.user.id, name: req.user.username,
    accessToken: req.authInfo.accessToken });
});

signupTestUserAndApp();

//var rateLimiting = require('./middleware/rate-limiting');
//app.middleware('routes:after', rateLimiting({limit: 100, interval: 60000}));

//var proxy = require('./middleware/proxy');
//var proxyOptions = require('./middleware/proxy/config.json');
//app.middleware('routes:after', proxy(proxyOptions));

app.middleware('files',
  loopback.static(path.join(__dirname, '../client/public')));
app.middleware('files', '/admin',
  loopback.static(path.join(__dirname, '../client/admin')));

// Requests that get this far won't be handled
// by any middleware. Convert them into a 404 error
// that will be handled later down the chain.
app.middleware('final', loopback.urlNotFound());

// The ultimate error handler.
app.middleware('final', loopback.errorHandler());

app.start = function(httpOnly) {
	
	 if(httpOnly === undefined) {
    httpOnly = process.env.HTTP;
  }
    server = https.createServer(options, app);
    
 server.listen(app.get('port'), function() {
    var baseUrl = (httpOnly? 'http://' : 'https://') + app.get('host') + ':' + app.get('port');
    app.emit('started', baseUrl);
    console.log('LoopBack server listening @ %s%s', baseUrl, '/');
  });
  return server;};

// start the server if `$ node server.js`
if (require.main === module) {
  app.start();
}

function signupTestUserAndApp() {
// Create a dummy user and client app
  app.models.User.create({username: 'bob',
    password: 'secret',
    email: 'foo@bar.com'}, function(err, user) {

    if (!err) {
      console.log('User registered: username=%s password=%s',
        user.username, 'secret');
    }

    // Hack to set the app id to a fixed value so that we don't have to change
    // the client settings
    app.models.Application.beforeSave = function(next) {
      this.id = 123;
      this.restApiKey = 'secret';
      next();
    };
    
    app.models.Application.register(
      user.username,
      'demo-app',
      {
        publicKey: sslConfig.certificate
      },
      function(err, demo) {
        if (err) {
          console.error(err);
        } else {
          console.log('Client application registered: id=%s key=%s',
            demo.id, demo.restApiKey);
        }
      }
    );

  });
}

服务器启动时我没有收到任何错误。想法？

最佳答案

明白了。更多信息请点击 https://github.com/strongloop/loopback-gateway/issues/17 ，但基本上我的rest-api中间件配置不正确。

关于javascript - 环回 IO OAuth 不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/28753392/

文章推荐： jquery - 如何强制 navbar-fixed-top 在一定高度后显示

文章推荐： python - BeautifulSoup 爬虫解析

文章推荐： c++ - 使用 Ninja 构建系统，我可以清理中间构建产品吗？

文章推荐： html - CSS 未将高度和背景颜色应用于

OAuth:OAuth 实现用例
我有一个 webapp，它使用 php 服务器和数据库服务器执行大量 ajax 请求。我还创建了一个 iPhone 应用程序和一个 Android 应用程序，直到现在它们一直作为离线应用程序工作。现
oauth - OAuth 线程安全吗？
OAuth 的访问 token /刷新 token 流对我来说似乎非常不安全。帮助我更好地理解它。假设我正在与利用 OAuth 的 API 集成(如 this one )。我有我的访问 token
oauth - OAuth 和 OAuth 2.0 有什么区别？
这个问题在这里已经有了答案: 9年前关闭。 Possible Duplicate: How is oauth 2 different from oauth 1 我知道这两个不向后兼容。但是，既然已经实
oauth - 在开发和生产环境中使用 OAuth
我已经看到关于此的其他问题( here 、 here 和 here )，但我对任何解决方案都不满意，所以我再次询问。我正在启动一个 Web 应用程序，它将利用来自多个提供商(Google、Facebo
oauth - OAuth 授权码应何时到期？
我知道(在 OAuth 中使用授权代码“授权代码”时)，访问 token 的生命周期应该很短，但刷新 token 的生命周期可能很长。所以我决定为我的项目: 访问 token 生命周期:1 天刷新
oauth - OAuth 可以与手机应用程序一起使用吗？
在没有浏览器的情况下，我们可以在手机上的应用程序中使用 OAuth 吗？如果没有浏览器，用户是否仍然可以批准 token 请求(以便消费者可以继续从服务提供者那里获取 protected 资源)？
oauth - OAuth 2 与 OAuth 1 有何不同？
用非常简单的术语来说，有人可以解释一下 OAuth 2 和 OAuth 1 之间的区别吗？ OAuth 1 现在已经过时了吗？我们应该实现 OAuth 2 吗？我没有看到很多 OAuth 2 的实现；
oauth - 桥接表单例份验证和 OAUTH
修改表单例份验证登录过程并不难，因此除了正常的表单例份验证之外，WebClient 对象对由使用 Thinktecture IdentityModel 设置的 Web Api DAL 提供的 api/
oauth - OAuth 是否总是假定用户界面？
我想连接到 LinkedIn 并通过他们的 API 提取一些信息。 LinkedIn API 使用 OAuth 2.0。我读过的所有关于 OAuth 的文档(无论是在 LinkedIn 的上下文中还
oauth - OAuth 的接受程度如何？
OAuth 与其他身份验证标准的支持范围有多广？这可能是社区维基的东西，但我还是要问。我需要投资一些与服务器身份验证相关的东西，而且那里似乎有一些不错的东西。最佳答案 OAuth 主要用作授权机
oauth - 雅虎和微软是否支持 Oauth 2.0？以及关于 oAuth 2.0 的几个问题
我有几个问题... 雅虎和微软 api 是否支持 oAuth 2.0？如果是，那么主要是什么应该采取的安全措施转移时受到照顾 oAuth 1.0 到 oAuth 2.0。 Google API
oauth-2.0 - google oAuth - 从 google oAuth 登录后如何删除 cookie
我已经用谷歌 oAuth 开发了一个应用程序，这工作正常。我可以登录并访问我的网站。我的问题是，当我从我的应用程序中注销(注销)时，我删除了所有 session ，但未删除经过身份验证的 cook
oauth - 我认为 OAuth 1.0 已经被 OAuth 2.0 弃用是对的吗？
我在 Internet 上寻找一些关于此的信息，最后在 RFC 上找到了 Oauth 1.0 协议(protocol):https://www.rfc-editor.org/rfc/rfc5849 您
oauth - 带有内部返回 URL 的 Google OpenID+Oauth 混合模式登录 - OAuth 不起作用
我正在尝试制作 Google OpenID/OAuth hybrid签到工作。问题是它是一个可安装的网络(所以没有固定域)，我也试图让它在我的开发机器上工作 - 所以返回 URL 类似于 http:/
oauth - DotNetOpenAuth 2、OAuth.net 和 Microsoft.OWIN.Security.oAuth
我想构建一个独立与任何身份提供者(如 ADFS、OpenAM、oracle 身份)一起工作的应用程序。我的目的是验证来自任何一个 IDP 的登录用户，这些 IDP 配置为实现我的 SSO。我不确定
spring -/oauth/authorize 和/oauth/token 在 Spring OAuth 中如何交互？
我正在深入研究 Spring OAuth，发现一些相互矛盾的信息。具体来说，this tutorial声明 /oauth/token 端点在将刷新 token 授予客户端应用程序之前处理用户名和密码
oauth - 来自命令行的三足 OAuth token
如何通过自定义命令行工具支持三足式 OAuth 工作流？我想允许我的 CLI 工具的用户上网、登录并在本地缓存 token ，类似于 heroku login。正在做。最佳答案你必须扔掉同意屏幕
oauth - 什么是 oauth 域
什么是 oauth 域？是否有任何免费的 oauth 服务？我可以将它用于 StackApps registration 吗？？我在谷歌上搜索了很多，但找不到答案。最佳答案这是redirect_
oauth - Yahoo OAuth 实现无法离线工作
我需要将我的 Delicious 书签下载到非 Web 应用程序，而无需持续的用户交互。我正在使用 Delicious 的 V2 API(使用 oAuth)，但问题是他们的访问 token 似乎在一小
oauth - nginx 负载均衡器和 OAuth
我正在尝试为两台服务器设置一个 nginx 负载均衡器/代理，并在两台服务器上运行 OAuth 身份验证的应用程序。当 nginx 在端口 80 上运行时，一切都运行良好，但是当我将它放在任何其他端

太空宇宙

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

javascript - 环回 IO OAuth 不起作用