1
我正在爲Node/Express站點添加身份驗證。我的身份驗證使用護照。身份驗證對路由正常工作,但允許用戶猜測URL並直接訪問圖像/視頻等。沒有登錄。您如何密碼保護Node/Express中的靜態資產?
我該如何預防這種情況?我搜查了關於快遞和護照的文件,但沒有看到任何解決方案?
A
回答
1
這類似於@eephillip想出了服務專用靜態資源/文件的解決方案:Using express.static middleware in an authorized route
他還創建了自己的auth.ensureAuthenticated()處理器,但它幾乎與此相同:Documentation for "ensureAuthentication" "isAuthenticated" passport's functions?
0
您是否在使用API等任何API?對於Instagram的護照包括這樣的功能:
function ensureAuthenticated(req,res,next){
if(req.isAuthenticated()){
console.log("USER IS AUTHENTICATED");
return next();
}
console.log("USER IS NOT AUTHENTICATED");
res.redirect('/home');
}
可以放置在你的路由文件的頂部,將用戶重定向到一個登陸頁面(例如/ home),如果他們沒有被該屆會議期間進行身份驗證。
一個例子,更多信息可以在這裏找到:https://github.com/jaredhanson/passport-instagram/blob/master/examples/login/app.js或谷歌搜索的Instagram護照
1
只要確保你的認證中間件是一個靜態前加入。當然這個身份驗證中間件應該能夠讓一些請求通過(例如獲取登錄頁面的例子)。
相關問題
- 1. RoR密碼保護資產
- 2. 密碼保護靜態頁面AppEngine HowTo?
- 3. 如何在CakePHP中密碼保護靜態頁面?
- 4. 在生產環境中保護密碼
- 5. MobileFirst 8:保護靜態資源
- 6. 如何用Jetty 4密碼保護JBoss 3中的靜態內容?
- 7. ActionScript - 從密碼保護目錄(.htaccess)使用PHP加載資產?
- 8. Android從資產解壓縮密碼保護文件
- 9. 如何將受密碼保護的PDF保存爲非密碼保護的PDF
- 10. 如果您擁有PDF密碼,您如何使用iText從密碼保護的PDF中讀取字段?
- 11. 具有授權(密碼保護)的靜態html頁面?
- 12. 使用.htaccess保護AutoIndex但不是靜態文件的密碼
- 13. django-cbv服務密碼保護的靜態內容
- 14. 如何在春天保護對靜態資源的訪問
- 15. 如何保護您的客戶代碼
- 16. rails設計密碼保護資源
- 17. 密碼保護資源| ASP.NET MVC
- 18. 資源管理器Shell - 密碼保護
- 19. 如何保護角CLI資產canActivate
- 20. 密碼保護
- 21. 靜態URL資產
- 22. Sinatra /靜態資產
- 23. Heroku靜態資產
- 24. 如何在php中密碼保護zip?
- 25. 如何在APK中保護SFTP密碼?
- 26. 您可以保護/模糊雲文件資產的URL嗎?
- 27. 保護基類的靜態
- 28. 如何保護靜態函數/變量
- 29. 如何保護我的密碼安全?
- 30. 如何讓Android的USB密碼保護?
我的猜測是要確保您的auth中間件獲得對靜態資源的請求。您不會找到它的文檔,因爲它與要求對其他任何路由進行身份驗證沒有區別。 –