Я реализую аутентификацию JWT, и у меня возникла проблема с авторизацией, установленной в шапке.
Похоже, что заголовок «Авторизация» не установлен в запросе.
Я получил 2 запроса, отправленных клиентом, первый, заголовок авторизации, переданный в запросе:
// GET PROJECTS NAME
projects.getName = () => { // === projects.getName = function() { ... }
return $http.get(Global.url_api+'action=GETINFO&table=Projects');
}
Запрос в браузере:
Accept: application/json, text/plain, */*
Accept-Encoding: gzip, deflate
Accept-Language: fr-FR,fr;q=0.9,en-US;q=0.8,en;q=0.7
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOi....
Host: *******-tpinst.fr
Origin: http://localhost:2000
Proxy-Connection: keep-alive
Referer: http://localhost:2000/
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36
Но мой второй запрос, реализованный так же, как и первый, не прошел этот заголовок авторизации:
users.get = function(project){
return $http.get(Global.url_api+'action=GET&table='+project+'_users');
}
В браузере:
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: fr-FR,fr;q=0.9,en-US;q=0.8,en;q=0.7
Access-Control-Request-Headers: authorization
Access-Control-Request-Method: GET
Host: bouygues-tpinst.fr
Origin: http://localhost:2000
Proxy-Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36
Авторизация устанавливается в основной программе:
app.config(['$httpProvider', function($httpProvider) {
$httpProvider.defaults.headers.common['Authorization'] = 'Bearer
'+localStorage.getItem('tokenAPI');
}])
Я установил Разрешить источник на моей стороне сервера с этими строками:
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PATCH, PUT, DELETE,
OPTIONS');
header('Access-Control-Allow-Headers: Origin, Content-Type, Authorization');
Я новичок в этих понятиях безопасности, пожалуйста, наведите меня на хороший путь
РЕДАКТИРОВАТЬ :
Я только что нашел подсказку, в моем api.php я получил эту строку, чтобы отправить ошибку 401 клиенту:
$Authorization = $_SERVER['HTTP_AUTHORIZATION'];
//Looking for authorization headers
if($Authorization){ ... }
else {
header('HTTP/1.0 401 Unauthorized'); //Give error code 401
echo 'Token not found in the header';
}
Когда я удаляю
заголовок («HTTP / 1.0 401 Unauthorized»);
Авторизация проходит в шапке
Удалить $httpProvider.defaults.headers.common
вместо этого реализовать перехватчик http
Попробуй это
app.factory("authInterceptor", authInterceptor);
authInterceptor.$inject = ["$q"];
function authInterceptor($q) {
return {
// Add an interceptor for requests.
'request': function (config) {
// Default to an empty object if no headers are set.
config.headers = config.headers || {};
// Set the token
var token = localStorage.getItem('tokenAPI');
config.headers.Authorization = "Bearer " + token;
return config;
},
// Add an interceptor for any responses that error.
'responseError': function (response) {
// Check if the error is auth-related.
if (response.status === 401 || response.status === 403) {
}
return $q.reject(response);
}
};
}
app.config(["$httpProvider",
function ($httpProvider) {
//Registers the interceptor
$httpProvider.interceptors.push("authInterceptor");
}]);
И я думаю, что перестановка ваших скриптов вызывает проблему, поместите ваш скрипт контроллера внизу
что-то вроде этого
И в твоем main.js удалить
var app = angular.module('App', ['ngMaterial', 'ngMessages'])
потому что мы поместили его в index.html
Других решений пока нет …