express-jwt 将用户对象设置为 req.user._doc 而不是 req.user?
express-jwt setting user object to req.user._doc instead of just req.user?
我过去使用 npm 包 express-jwt 来轻松进行 JWT 签名、解码等。通常(和 according to the docs)它会拦截请求,使用用户对象有效负载解码令牌,然后将 req.user
设置为该负载。然而,这一次它显示 req.user
看起来像这样:
{ '$__':
{ strictMode: true,
getters: {},
wasPopulated: false,
activePaths: { paths: [Object], states: [Object], stateNames: [Object] },
emitter: { domain: null, _events: {}, _maxListeners: 0 } },
isNew: false,
_doc:
{ __v: 0,
password: 'a$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d' },
_pres: { '$__original_save': [ null, null, null ] },
_posts: { '$__original_save': [] },
iat: 1452709101
}
而不只是:
{
__v: 0,
password: 'a$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d'
}
我想弄清楚为什么这一次我需要指定 req.user._doc
来获取有关用户的特定信息。我比较了每个来源的代码,它实际上与过去的项目相同,我只是并排测试它们——一个项目将 req.user 设置为用户对象,另一个将 req.user 设置为上面显示的对象,其中用户对象只能在_doc
属性.
中找到
我检查了两个项目中 mongoose .findOne()
方法实际返回的内容,它 是 两个项目中上面显示的较大对象,但是 express-jwt似乎在一个项目中自动清除了多余的东西,但在另一个项目中却没有。
我还注意到,带有我不想要的所有附加信息的 JWT 比带有正确 req.user
对象的项目中的 JWT 长得多。所以也许这意味着当 JWT 使用有效负载签名时发生了一些奇怪的事情......
这是需要 req.user._doc
:
的相关代码
server.js
...
var expressJwt = require('express-jwt');
var authRoutes = require('./routes/authRoutes');
var nationRoutes = require('./routes/nationRoutes');
...
app.use('/api', expressJwt({ secret: config.secret }));
app.use('/api/nation', nationRoutes);
app.use('/auth', authRoutes);
...
authRoutes.js
...
authRouter.post('/login', function (req, res) {
User.findOne({ username: req.body.username }, function (err, user) {
if (err) res.status(500).send(err);
if (!user) res.status(401).send('The username you entered does not exist');
else if (user) {
bcrypt.compare(req.body.password, user.password, function (err, match) {
if (err) throw (err);
if (!match) res.status(401).send("Incorrect Password");
else {
var token = jwt.sign(user, config.secret);
res.send({
user: user,
token: token
});
}
});
}
});
});
...
nationRoutes.js(出现问题的地方)
至此,express-jwt 已经解码了令牌并(据说)将令牌的有效负载(应该只是用户的信息,而不是额外的 $__
等内容)设置为 req.user
,但我必须按照下面的代码所示执行 req.user._doc
才能使其正常工作。
...
nationRouter.route('/')
.get(function (req, res) {
console.log(req.user); // Shows the larger object with added stuff from above
Nation.find({ user: req.user._doc._id }, function (err, nations) {
if (err) {
res.status(500).send(err);
}
res.send(nations);
});
})
...
如果它有帮助,或者可能是问题的一部分,这里是用户模型和国家模型:
user.js
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var bcrypt = require("bcrypt");
var userSchema = new Schema({
firstname: {
type: String,
required: true
},
lastname: {
type: String,
required: true
},
username: {
type: String,
required: true,
unique: true,
lowercase: true
},
password: {
type: String,
required: true
},
email: String
});
userSchema.pre("save", function (next) {
var user = this;
if (!user.isModified("password")) {
next();
}
bcrypt.hash(user.password, 10, function (err, hash) {
if (err) return next(err);
user.password = hash;
next();
});
});
module.exports = mongoose.model('User', userSchema);
nation.js
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var Nation = new Schema({
name: {
type: String,
required: true
},
creationDate: {
type: Date,
default: Date.now
},
user: {
type: Schema.Types.ObjectId,
ref: 'User'
}
});
module.exports = mongoose.model('Nation', Nation);
我在我的代码中尝试了 jsonewebtoken
包的过去版本号,问题在 5.5.1 版本中消失了。 (5.5.2好像引入了这个问题)。我查看了 jsonwebtoken 的源代码,并在他们的 github 问题页面 (here and here) 上与一些开发人员进行了几次对话。似乎他们在 jwt.sign()
方法中向有效载荷引入了一个名为 xtend
的包,这似乎是在编码之前将所有额外的元属性添加到有效载荷中。
我正在使用 Mongoose,根据一位 jsonwebtoken
开发人员的说法,我需要开始使用 Mongoose 的 Document.toObject()
方法。那么从现在开始:
...
jwt.sign(user.toObject(), ...)
...
将是在 Mongoose 中执行此操作的方法。
我过去使用 npm 包 express-jwt 来轻松进行 JWT 签名、解码等。通常(和 according to the docs)它会拦截请求,使用用户对象有效负载解码令牌,然后将 req.user
设置为该负载。然而,这一次它显示 req.user
看起来像这样:
{ '$__':
{ strictMode: true,
getters: {},
wasPopulated: false,
activePaths: { paths: [Object], states: [Object], stateNames: [Object] },
emitter: { domain: null, _events: {}, _maxListeners: 0 } },
isNew: false,
_doc:
{ __v: 0,
password: 'a$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d' },
_pres: { '$__original_save': [ null, null, null ] },
_posts: { '$__original_save': [] },
iat: 1452709101
}
而不只是:
{
__v: 0,
password: 'a$ypbCbWsEA7W17IQjdox5Oe..MhhCco/0yIw.J1Y6m6vJDllCB0LLS',
username: 'b',
lastname: 'Last',
firstname: 'First',
_id: '56969210e3f8bf2ab9aee66d'
}
我想弄清楚为什么这一次我需要指定 req.user._doc
来获取有关用户的特定信息。我比较了每个来源的代码,它实际上与过去的项目相同,我只是并排测试它们——一个项目将 req.user 设置为用户对象,另一个将 req.user 设置为上面显示的对象,其中用户对象只能在_doc
属性.
我检查了两个项目中 mongoose .findOne()
方法实际返回的内容,它 是 两个项目中上面显示的较大对象,但是 express-jwt似乎在一个项目中自动清除了多余的东西,但在另一个项目中却没有。
我还注意到,带有我不想要的所有附加信息的 JWT 比带有正确 req.user
对象的项目中的 JWT 长得多。所以也许这意味着当 JWT 使用有效负载签名时发生了一些奇怪的事情......
这是需要 req.user._doc
:
server.js
...
var expressJwt = require('express-jwt');
var authRoutes = require('./routes/authRoutes');
var nationRoutes = require('./routes/nationRoutes');
...
app.use('/api', expressJwt({ secret: config.secret }));
app.use('/api/nation', nationRoutes);
app.use('/auth', authRoutes);
...
authRoutes.js
...
authRouter.post('/login', function (req, res) {
User.findOne({ username: req.body.username }, function (err, user) {
if (err) res.status(500).send(err);
if (!user) res.status(401).send('The username you entered does not exist');
else if (user) {
bcrypt.compare(req.body.password, user.password, function (err, match) {
if (err) throw (err);
if (!match) res.status(401).send("Incorrect Password");
else {
var token = jwt.sign(user, config.secret);
res.send({
user: user,
token: token
});
}
});
}
});
});
...
nationRoutes.js(出现问题的地方)
至此,express-jwt 已经解码了令牌并(据说)将令牌的有效负载(应该只是用户的信息,而不是额外的 $__
等内容)设置为 req.user
,但我必须按照下面的代码所示执行 req.user._doc
才能使其正常工作。
...
nationRouter.route('/')
.get(function (req, res) {
console.log(req.user); // Shows the larger object with added stuff from above
Nation.find({ user: req.user._doc._id }, function (err, nations) {
if (err) {
res.status(500).send(err);
}
res.send(nations);
});
})
...
如果它有帮助,或者可能是问题的一部分,这里是用户模型和国家模型:
user.js
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var bcrypt = require("bcrypt");
var userSchema = new Schema({
firstname: {
type: String,
required: true
},
lastname: {
type: String,
required: true
},
username: {
type: String,
required: true,
unique: true,
lowercase: true
},
password: {
type: String,
required: true
},
email: String
});
userSchema.pre("save", function (next) {
var user = this;
if (!user.isModified("password")) {
next();
}
bcrypt.hash(user.password, 10, function (err, hash) {
if (err) return next(err);
user.password = hash;
next();
});
});
module.exports = mongoose.model('User', userSchema);
nation.js
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var Nation = new Schema({
name: {
type: String,
required: true
},
creationDate: {
type: Date,
default: Date.now
},
user: {
type: Schema.Types.ObjectId,
ref: 'User'
}
});
module.exports = mongoose.model('Nation', Nation);
我在我的代码中尝试了 jsonewebtoken
包的过去版本号,问题在 5.5.1 版本中消失了。 (5.5.2好像引入了这个问题)。我查看了 jsonwebtoken 的源代码,并在他们的 github 问题页面 (here and here) 上与一些开发人员进行了几次对话。似乎他们在 jwt.sign()
方法中向有效载荷引入了一个名为 xtend
的包,这似乎是在编码之前将所有额外的元属性添加到有效载荷中。
我正在使用 Mongoose,根据一位 jsonwebtoken
开发人员的说法,我需要开始使用 Mongoose 的 Document.toObject()
方法。那么从现在开始:
...
jwt.sign(user.toObject(), ...)
...
将是在 Mongoose 中执行此操作的方法。