32 lines
1017 B
TypeScript
32 lines
1017 B
TypeScript
export default defineEventHandler((event) => {
|
|
const path = event.path || event.node.req.url || ""
|
|
|
|
// Le middleware ne s'applique qu'aux routes API, sauf l'endpoint de ping
|
|
// qui reste public pour les tests de connectivite.
|
|
if (!path.startsWith("/api/") || path === "/api/ping") {
|
|
return
|
|
}
|
|
|
|
const runtimeConfig = useRuntimeConfig(event)
|
|
const authorization = getHeader(event, "authorization")
|
|
const cookieToken = getCookie(event, "api_auth_token")
|
|
const expectedToken = runtimeConfig.apiSecretKey
|
|
|
|
// Si aucun secret n'est configure cote serveur, on refuse la requete.
|
|
if (!expectedToken) {
|
|
throw createError({
|
|
statusCode: 401,
|
|
statusMessage: "Unauthorized"
|
|
})
|
|
}
|
|
|
|
// Le secret peut venir soit d'un header serveur explicite,
|
|
// soit du cookie httpOnly pose pour l'application web.
|
|
if (authorization !== `Bearer ${expectedToken}` && cookieToken !== expectedToken) {
|
|
throw createError({
|
|
statusCode: 401,
|
|
statusMessage: "Unauthorized"
|
|
})
|
|
}
|
|
})
|