如何使HTML身份验证表单和JSON Web令牌在Ionic / Angular中一起通信

JWT的一般流程：

1-使用策略进行身份验证（您已完成）

2-随同传递一个accessToken（您已完成）

3-客户端必须存储此accessToken（LocalStorage是最好的位置，而不是cookie：它们容易受到csrf攻击）

4-在将要发送到保护区（应该对用户进行身份验证和授权）的每个请求上，确保将其随同发送给accessToken，您可以将其放在Authorization标头（自定义标头）上，直接在请求正文中...基本上，只需确保将其正确发送即可。

5-在接收客户端请求的服务器上，您需要验证令牌（通过检查accessToken的签名来验证令牌）。

6-如果他被授权，那么，如果没有，则发回HTTP未经授权错误。

这是我在标头+护照js-jwt上使用accessToken的实现：

客户代码

要存储令牌：

localStorage.setItem('accessToken',myAccessToken);

发送：

const myAccessToken = localStorage.getItem('accessToken');

{
  headers: {'Authorization',`Bearer ${myAccessToken}`}
}

服务器代码

1-配置护照

passport.use('jwt',new JwtStrategy({
  jwtFromRequest: jwtPassport.ExtractJwt.fromAuthHeaderAsBearerToken(),secretOrKey: myAccessTokenSecret,passReqToCallback: true
},(req,payload,done: (err?,user?) => void): void {
User
  .findOne({where: {id: req.params.id}})
  .then((user: User) => {

    if (!user) {
      return done(new Error(`No user found with id: ${req.params.id}`),null);
    }

    return done(null,user);
  })
  .catch((e: Error) => done(e,null));
}));

注意回调：如果调用了回调，则表示护照已经成功验证了令牌（有效）。在我的示例中，我获取了数据库中的用户详细信息，这是将要返回的用户，并将其放入传递给以下控制器的req.user对象中：

2-最后，控制器路由（保护区）：

.get('/users/:id',passport.authenticate('jwt'),res,next) => {
  // do stuff in protected area.
}

就是这样。如果需要更高的安全性，请检查refreshTokens实施。

我之所以使用护照是因为我发现它与我的情况有关，但是您可以使用jsonwebtoken并调用其“验证”功能来编写自己的处理程序。

您可以在此处找到有关护照轻型卡车策略的文档=> http://www.passportjs.org/packages/passport-jwt/