жасмин высосал все соки просто)))

https://habrahabr.ru/post/307822/ %)

(это шутка если что)

Ето уже даже баян 😁😄

Кто подскажет,как  обрабазывать при запросах авторизировался пользователь или нет? Использую JWT, как хранить токен в сессии, использую HAPI за основу

https://github.com/ryanfitz/hapi-auth-jwt уже смотрел?)

нет, сейчас гляну

Не совсем то что нужно, я написал авторизацию и при POST /users - гуд выдает ObjectId, token и т.п, убиваю токен,  и  вот когда я после этого хочу сделать запрос на POST /todos/add к примеру, он мне не говорит друг иди ко ты зарегься,а просто тупо берет и создает таск, нужна проверка что без токена нельзя

Как хранить в сессиях или еще где-то ТОКЕН, чтобы потом проверять выдан ли он юзеру или это аноним который идет лесом

Если ты выдал юзеру jwt то потом можешь его проверить, он же подписан тобой

Для этого такие токены и разработаны, чтоб состояние не хранить на сервере

Ок, но как мне этот токен передать в другое место?

Отдай токен юзеру и напиши туда инфу, потом забудь про юзера

Когда он хочет получить доступ то дает тебе этот токен

Ты его расшифровываешь и аутентифицируешь юзера по инфе в нем

Юзер не может изменить токен потому что он подписан твоим секретным ключем

exports.login =
   handler: function(request, reply) {

       User.findOne({ userName: request.payload.userName }
       , function(err, user) {
           if (!err) {
              if (user === null) return reply(Boom.forbidden("invalid username or password"));
               if (request.payload.password === Decrypt(user.password)) {

                   var token =  secure.generateToken(user._id, user.userName) ;

                   var res = {
                       username: user.userName,
                       token: token,
                       id: user._id
                   };

                 var uid = secure.verifyToken(token).id;

                   reply(res);

Сори с телефона сложно писать )

При запросе POST /login

Делаю запрос на POST /todos/add