在 nuxtjs 中刷新页面后如何保持用户身份验证?

Posted

技术标签:

【中文标题】在 nuxtjs 中刷新页面后如何保持用户身份验证?【英文标题】:how to keep user authenticated after refreshing the page in nuxtjs? 【发布时间】:2021-09-11 10:11:22 【问题描述】:

如果我刷新用户不再经过身份验证的页面并且loggedIn 返回 false,我在成功登录后使用 laravel 护照作为 API 和 nuxt.js 作为前端,这是我的第一个 nuxt.js 项目,所以我没有想法如何处理,任何建议表示赞赏

login.vue

<script>
import  mapActions  from 'vuex'

export default 
  data() 
    return 
      email: "",
      password: ""
    
  ,
  methods:
    async login()
      const succesfulLogin = await this.$auth.loginWith('local', 
        data: 
          email: this.email,
          password: this.password
        ,
      )
      this.$store.commit("saveUser",succesfulLogin.data)
      this.$store.commit("saveToken", succesfulLogin.data.token)

      if (succesfulLogin) 
        await this.$auth.setUser(
          email: this.email,
          password: this.password,
        )
        this.$router.push('/profile')
      
    
  

</script>

store/index.js

export const state = () => (
  user:,
  token: ""
)

export const mutations = 
  saveUser(state, payload) 
    state.user=payload;
  ,
  saveToken(state, token) 
    state.token= token
  
 

export const actions = 
     saveUserAction(commit, UserObject)
         commit('saveUser');
     ,
     logoutUser(commit)
        commit('logout_user')
     

export const getters = 
  getUser: (state) => 
    return state.user
  ,
  isAuthenticated(state) 
    return state.auth.loggedIn
  ,

  loggedInUser(state) 
    return state.user.user
  

成功登录后

刷新页面后

【问题讨论】:

【参考方案1】:

您可以只使用 localStorage 并自己实现它,例如:

  saveToken(state, token) 
    localStorage.setItem("authToken", token);
    state.token= token
  ,
  saveUser(state, payload) 
    localStorage.setItem("authUser", payload);
    state.user=payload;
  ,

然后在初始化商店时检索 localStorage,您需要执行以下操作:

export const state = () => 
  const localUser = localStorage.getItem("authToken")
  const localToken = localStorage.getItem("authUser")
  let user = 
  let token = ""
  if (localUser) user = localUser
  if (localToken) token = localToken
  return 
    user: user,
    token: token
  

正如@mbuechmann 所指出的,在 localStorage 中存储敏感信息时要注意安全风险。最好将 cookie 用于令牌,但 localStorage 是“简单”的解决方案。

或者使用像nuxt-vuex-localstorage这样的包

【讨论】:

Localstorage 不适合存储敏感数据。这个答案详细解释了它:***.com/questions/3718349/html5-localstorage-security @Laurens 谢谢,我刚刚尝试过,不幸的是它没有用,我现在在本地存储中有一个带有令牌的 'authToken',但仍然刷新用户不再经过身份验证 @AIB 这不是完整的解决方案,您还必须在初始化存储时使用localStorage.getItem 检索 localStorage,阅读 localStorage 的工作原理 @mbuechmann 虽然你认为 localstorage 不是最安全的方法是正确的,但如果你有 xss 漏洞,你就会遇到更大的问题。阅读pragmaticwebsecurity.com/articles/oauthoidc/…。但最好的方法是使用 cookie 而不是本地存储。您可以使用 nuxt/auth 模块执行此操作:auth.nuxtjs.org/schemes/cookie @Laurens 在这种情况下使用 cookie 与 laravel 护照一起使用还是与后端无关?【参考方案2】:

在我的auth 模块身份验证之后,我们确实使用了一个全局中间件

/middleware/global.js

export default async ( app, store ) => 
  if (store?.$auth?.$state?.loggedIn) 
    if (!app.$cookies.get('gql.me_query_expiration')) 
      // do some middleware logic if you wish

      await app.$cookies.set('gql.me_query_expiration', '5min', 
        // maxAge: 20,
        maxAge: 5 * 60,
        secure: true,
      )
    
  

nuxt.config.js

router: 
  middleware: ['auth', 'global'],
,

我们正在使用 cookie-universal-nuxt 快速处理安全 cookie,效果很好!

在访问或刷新 web 应用时(如果未通过身份验证,我们会重定向到 /login 页面)并且我们在需要 cookie 的地方使用这个基本的 GraphQL 配置。

/plugins/nuxt-apollo-config.js

export default ( app ) => 
  const headersConfig = setContext(() => (
    credentials: 'same-origin',
    headers: 
      Authorization: app.$cookies.get('auth._token.local'), // here
    ,
  ))

  [...]

检查gql.me_query_expiration 允许我们查看用户最近是否已通过身份验证/当前是否已通过身份验证,或者他是否需要刷新他的令牌。auth._token.local 是我们实际的 JWT 令牌,由 auth 模块提供。

如上所述,拥有一个secure cookie 比一些localStorage 更安全,这也是我们不使用它的原因

nuxt.config.js

auth: 
  localStorage: false, // REALLY not secure, so nah
  ...

【讨论】:

谢谢,在这种情况下使用 cookie 是否与后端无关?因为我在后端使用 laravel 护照进行身份验证? @AIB 据我所知,你可以在客户端使用任何你想要的东西(cookie 或localStorage),因为这是你自己生成的,而不是你的实际后端。

以上是关于在 nuxtjs 中刷新页面后如何保持用户身份验证?的主要内容,如果未能解决你的问题,请参考以下文章

Firebase 身份验证在页面重新加载时在 nuxtjs 中间件中为空

页面刷新后如何保持用户登录

使用 Passportjs 刷新页面后保持身份验证

如何使用 Firebase 刷新令牌保持用户身份验证?

无法保持页面刷新会话

Nuxt JS 中的基本身份验证