时间戳

首页 > 解决方案 > 未找到授权令牌 - Express-JWT 和 Auth0

node.js - 未找到授权令牌 - Express-JWT 和 Auth0

问题描述

我正在将 Auth0 集成到 MERN Stack 应用程序中。流程应如下所示:

  1. 用户单击触发 Auth0Lock.show() 的登录按钮
  2. 用户填写他们的凭据并单击提交按钮
  3. 命中 API 的回调 URL,使用户登录并将其重定向回前端应用程序

(到目前为止,一切看起来都运行良好)

  1. 前端从 API 请求用户信息
  2. 前端接收信息并重定向

这似乎是一个相当标准的身份验证流程。问题是前端向后端询问用户信息时,出现错误:

UnauthorizedError: No authorization token was found

我的设置基本上是这样的:

// client-side config
const lock = new Auth0Lock(clientID, domain, {
  auth: {
    responseType: 'token',
    audience: 'https://${domain}/userinfo',
    redirectUrl: API_URL + '/api/users/callback', 
    params: {
      scope: 'openid profile email' // no change
    }
  }
})


// server.js

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// [DB setup]

var sessConfig = {
  secret: "[random string]",
  cookie: {
    sameSite: false
  },
  resave: false,
  saveUninitialized: true
};
if(app.get('env') === 'production') sessConfig.cookie.secure = true;

app.use(session(sessConfig));

const {domain, clientID, clientSecret, callbackURL} = require('./config/auth0');
const passportStrategy = new Auth0Strategy(
  {domain, clientID, clientSecret, callbackURL},
  (accessToken, refreshToken, extraParams, profile, done) => done(null, profile)
)
passport.use(passportStrategy);
passport.serializeUser((user, done) => done(null, user));
passport.deserializeUser((user, done) => done(null, user));
app.use(passport.initialize());
app.use(passport.session());

// [routing]



// routes/users.js
router.get('/callback', (req, res, next) => {
  passport.authenticate('auth0', (err, user, info) => {
    if(err) return next(err);
    if(!user) return next(info);

    req.logIn(user, err => {
      if(err) return next(err);

      const returnTo = req.session.returnTo;
      delete req.session.returnTo;
      res.redirect(returnTo || clientRootURL + '/callback');
    })
  })(req, res, next);
})

router.get(
  '/current',
  require('cors')(),
  authenticate,
  (req, res) => {
    res.json({
      id: req.user.id,
      name: req.user.name,
      email: req.user.email
    });
  }
);


// authenticate.js
module.exports = jwt({
  secret: jwksRsa.expressJwtSecret({
    cache: true,
    rateLimit: true,
    jwksRequestsPerMinute: 5,
    jwksUri: `https://${domain}/.well-known/jwks.json`
  }),
  audience: clientID,
  issuer: `https://${domain}/`,
  algorithms: ['RS256']
});

绝大多数直接来自 Auth0 文档。登录后我试图从 /users/current 端点获取用户信息,它说它找不到授权。有谁知道如何让它工作?

标签: node.jsexpressjwtauth0auth0-lock

解决方案

每个经过身份验证的前端调用都应包含:

headers: {
    Authorization: `Bearer ${token}`,
},

token应该在哪里:

const token = await getAccessTokenSilently();

getAccessTokenSilentlyauth0lib 的一个公共函数。

请参阅:getAccessTokenSilently 文档

推荐阅读