Auth0 с Socket.IO принудительной аутентификацией

Question

Мне нужно защитить сервисы, экспортируемые адаптером базы данных Feathers, с аутентификацией по токенам. Мы сделали это для отдыха с:

var authenticate = jwt({ 
    secret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'), 
    audience: process.env.AUTH0_CLIENT_ID 
}); 

Чтобы предотвратить неаутентифицированный доступ клиентов REST услуг, мы делаем:

app.use('/api', authenticate); 

Доступ к WebSockets должен быть заблокирован, а также. Я нашел несколько примеров. Ниже следует теоретически включить аутентификацию для socket.io.

app.configure(feathers.socketio(function(io) { 
    io.on('connection', socketioJwt.authorize({ 
    secret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'), 
    audience: process.env.AUTH0_CLIENT_ID, 
    timeout: 5000 // 5 seconds to send the authentication message 
    })).on('authenticated', function(socket) { 
// console.log('token: ' + socket.decoded_token.name); 
    socket.emit('news', { hello: 'world' }); 
    socket.on('my other event', function (data) { 
     console.log(data); 
    }); 
    }); 
})); 

Этого не происходит, однако. Запросы клиента socket.io не имеют токена, но у сервера нет проблем, заботясь о них.

С чего начать?

Answer 1

Возможно, я нашел проблему. Когда я использую приведенный ниже фрагмент [до io.on()] для блокировки socket.io down, он работает.

io.use(socketioJwt.authorize({ 
    secret: new Buffer(process.env.AUTH0_CLIENT_SECRET, 'base64'), 
    audience: process.env.AUTH0_CLIENT_ID, 
    handshake: true 
})); 

Теперь мне нужно понять, как заставить клиента и сервер играть хорошо.

Answer 2

Лучший способ принудительной аутентификации - использовать feathers-hooks. У нас также есть руководство о том, как вы можете сделать authentication и authorization.

Наши документы немного запутаны на данный момент, поэтому их легко пропустить, но мы скоро это исправим!