Как получить токен на предъявителя из заголовка авторизации в Javascript (Angular2 / 4)?

Question

Как получить токен на предъявителя из заголовка авторизации в Javascript (Angular2 / 4)?

1

В javascript у меня есть метод, который аутентифицируется на моем сервере с помощью HTTP-запроса.

Ответные данные с моего сервера отправляют JWT в заголовок авторизации следующим образом:

Authorization: Bearer mytoken12345abc

Я могу получить заголовок авторизации из данных ответов на сервер, например, например:

let authheader = response.headers.get('Authorization');

Но как я разбираю это? Является ли "носитель" ключом? так что-то вроде:

let token = authheader.Bearer

что, очевидно, неверно... может ли кто-нибудь помочь?

другими словами, лучший подход?

let token = response.headers.get('Authorization');
let parsedToken = token.slice(7);

Mike Someone 12 июнь 2017, в 13:21

Источник

Теги:

angular

javascript

jwt

header

2 ответа

0

Когда вы получаете токен с сервера, установите его в хранилище сеанса браузера/локальном, например, ниже

sessionStorage.setItem('token', authheader);

Всякий раз, когда вы вызываете сервисы на серверный токен авторизации в заголовке, это безопасный способ, как показано ниже

import { Http, Headers, RequestOptions, Response } from '@angular/http';
   getUser(){

            let headers = new Headers({ 'Authorization': 'Bearer ' + sessionStorage.getItem('token') });
            let options = new RequestOptions({ headers: headers });

            // get users from api
            return this.http.get('http://localhost:9000/api/user', options)
                .map((response: Response) => response.json());
        }

sagar patel 12 июнь 2017, в 08:31

0

Спасибо за это, я понимаю это точно, однако ... прежде чем я могу установить токен в sessionStorage, как мне получить его из заголовка "Авторизация"? Мой сервер отправляет токен в заголовке так же, как вы показываете мне, как отправить его на сервер ...
DevMike 12 июнь 2017, в 11:05
0

Ты имеешь ввиду? Вы хотите получить токен из заголовка API в Angular2?
sagar patel 12 июнь 2017, в 11:12
0

Да, мой сервер отправляет токен после успешного входа в систему в заголовке «Авторизация»: Авторизация: Bearer mytoken123abc ...
DevMike 12 июнь 2017, в 11:16
0

Но Братан Авторизация обычно используется как заголовок запроса, а не как ответ. Почему бы вам не вернуть токен доступа в теле ответа во время входа в систему?
sagar patel 12 июнь 2017, в 11:20
0

да, вы должны сказать им, чтобы они отправляли токен в виде простого ответа json только при успешном входе в систему (после успешного входа в систему не нужно повторно отправлять токен в другом API), а затем получали этот токен из ответа и сохраняли его в сеансе или локальном хранилище, как вам нужно.
sagar patel 12 июнь 2017, в 11:28
0

Есть ли в бэкэнде фреймворк Laravel?
sagar patel 12 июнь 2017, в 11:31
0

Я не уверен в том, что мне нужно выяснить, поэтому я должен выяснить .... так что мой единственный вопрос сейчас ... Безопасно ли для них отправлять JWT в ответ Json? Или это действительно не имеет значения, отправлено ли оно в заголовке или в полезной нагрузке json?
DevMike 12 июнь 2017, в 12:06
0

Простым и безопасным обычным способом является ответ сервера токеном JWT в виде простого ответа json на угловую сторону во время успешного входа в систему, после чего угловой отправляет авторизационный токен в заголовке на каждый вызов API на стороне сервера, и сервер проверяет, является ли заголовок действительным или нет пользователем и токен истек или нет
sagar patel 12 июнь 2017, в 12:15

Показать ещё 6 комментариев

Ещё вопросы

Спасибо за это, я понимаю это точно, однако ... прежде чем я могу установить токен в sessionStorage, как мне получить его из заголовка "Авторизация"? Мой сервер отправляет токен в заголовке так же, как вы показываете мне, как отправить его на сервер ...
Ты имеешь ввиду? Вы хотите получить токен из заголовка API в Angular2?
Да, мой сервер отправляет токен после успешного входа в систему в заголовке «Авторизация»: Авторизация: Bearer mytoken123abc ...
Но Братан Авторизация обычно используется как заголовок запроса, а не как ответ. Почему бы вам не вернуть токен доступа в теле ответа во время входа в систему?
да, вы должны сказать им, чтобы они отправляли токен в виде простого ответа json только при успешном входе в систему (после успешного входа в систему не нужно повторно отправлять токен в другом API), а затем получали этот токен из ответа и сохраняли его в сеансе или локальном хранилище, как вам нужно.
Я не уверен в том, что мне нужно выяснить, поэтому я должен выяснить .... так что мой единственный вопрос сейчас ... Безопасно ли для них отправлять JWT в ответ Json? Или это действительно не имеет значения, отправлено ли оно в заголовке или в полезной нагрузке json?
Простым и безопасным обычным способом является ответ сервера токеном JWT в виде простого ответа json на угловую сторону во время успешного входа в систему, после чего угловой отправляет авторизационный токен в заголовке на каждый вызов API на стороне сервера, и сервер проверяет, является ли заголовок действительным или нет пользователем и токен истек или нет

TommyF · Accepted Answer · 2017-06-12T09-46-00.000Z

Согласно документу jwt.io,

Всякий раз, когда пользователь хочет получить доступ к защищенному маршруту или ресурсу, пользовательский агент должен отправить JWT, как правило, в заголовок авторизации, используя схему Bearer.

Поэтому использование JWT в заголовке авторизации предполагается использовать клиентом, а не сервером для первоначального ответа.

Правильный способ - получить токен как часть тела ответа. Мы используем

 { jwt: TOKEN }

тип схемы для этого. Затем вы можете легко получить к нему доступ через ваш response.json().

Вы можете получить доступ к значению заголовка напрямую с помощью response.headers.get(...) но тогда вам нужно будет split, substr или повторить сравнение, чтобы получить фактический токен.