401未经保护的资源未授权

问题描述 投票:2回答:1

我的设置

我有一台带有REST API的服务器,该服务器在带有API平台的Symfony上运行。对我的资源的GET请求不需要授权,但是其他操作则需要授权。授权通过JWT承载令牌处理。

客户端将React-admin与API Platform Admin一起使用。我添加了以下代码以将JWT令牌与操作一起发送:

// dataProvider.js
import React from "react";
import { hydraDataProvider, fetchHydra as baseFetchHydra } from "@api-platform/admin";

export default entrypoint => {

    const fetchHeaders = { Authorization: `Bearer ${localStorage.getItem("token")}` };
    const fetchHydra = (url, options = {}) => baseFetchHydra(url, {
        ...options,
        headers: new Headers(fetchHeaders),
    });

    return hydraDataProvider(entrypoint, fetchHydra);
};

问题

[当我现在登录到管理界面时,收到401 Unauthorized响应,因为服务器不希望GET请求使用令牌。

请求标题

Host: localhost:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0
Accept: application/ld+json
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: http://localhost:3000/
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpYXQiOjE1ODQ2NzcwMTYsImV4cCI6MTU4NDY4MDYxNiwicm9sZXMiOlsiUk9MRV9BRE1JTiJdLCJ1c2VybmFtZSI6IlNvbWVib2R5In0.O_StagfEJy5VQS-5s-DjuwzOlUgrl3MTmxPfZUU0J1go06tKOpLjiBrEIJpjo5AK67w93SfsUaIBop8apoacHQ
Content-Type: application/ld+json
Origin: http://localhost:3000
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
TE: Trailers

响应标题

HTTP/2 401 Unauthorized
access-control-allow-origin: http://localhost:3000
access-control-expose-headers: link
cache-control: no-cache, private
content-type: application/json
date: Fri, 20 Mar 2020 04:40:39 GMT
link: <https://localhost:8000/api/docs.jsonld>; rel="http://www.w3.org/ns/hydra/core#apiDocumentation"
www-authenticate: Bearer
x-debug-token: 720652
x-debug-token-link: https://localhost:8000/_profiler/720652
x-powered-by: PHP/7.4.1
x-robots-tag: noindex
content-length: 282
X-Firefox-Spdy: h2

当我从浏览器的请求标头中手动删除授权行并重试时,它起作用。

我的问题:

  1. 这是预期的行为吗?
  2. 客户端总是是否发送令牌?
    • 如果应该始终发送令牌,即使不需要令牌,我如何告诉API平台接受它?
    • 如果仅应在需要时发送令牌,如何通知hydraDataProvider?
reactjs rest jwt react-admin api-platform.com
1个回答
0
投票

经过许多小时的尝试不同的解决方案,我终于解决了这个问题。

我的问题的答案

  1. 否,发送有效令牌不应导致401响应。
  2. 可以在每个请求上发送令牌。

我的解决方案

问题是我的服务器上JWT身份验证配置不正确。我遵循的所有指南均未涉及以下情况:我将用户电子邮件作为标识符,而不是用户名。

所以最终发生的是令牌包含编码的用户名,在我的情况下这不是唯一的标识符。要告诉JWT改用电子邮件,我必须将user_identity_field设置为email

// config/packages/lexik_jwt_authentication.yaml
lexik_jwt_authentication:
    secret_key: '%env(resolve:JWT_SECRET_KEY)%'
    public_key: '%env(resolve:JWT_PUBLIC_KEY)%'
    pass_phrase: '%env(JWT_PASSPHRASE)%'
    user_identity_field: email
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.