64

我正在Node.js用作 iPhone 客户端的后端 API 服务器。我正在Passport.js使用local strategy. 相关代码如下:

// This is in user.js, my user model
UserSchema.static('authenticate', function(username, password, callback) {
    this.findOne({ username: username }, function(err, user) {
        if (err){
            console.log('findOne error occurred');
            return callback(err);
        }
        if (!user){
            return callback(null, false);
        }
        user.verifyPassword(password, function(err, passwordCorrect){
            if (err){
                console.log('verifyPassword error occurred');
                return callback(err);
            }
            if (!passwordCorrect){
                console.log('Wrong password');
                return callback(err, false);
            }
            console.log('User Found, returning user');
            return callback(null, user);
        });
    });
});

// This is in app.js
app.get('/loginfail', function(req, res){
    res.json(403, {message: 'Invalid username/password'});
});

app.post('/login',
    passport.authenticate('local', { failureRedirect: '/loginfail', failureFlash: false }),
    function(req, res) {
       res.redirect('/');
});

现在,我设法将失败的登录重定向到 /loginfail,在那里我将一些 JSON 发送回 iPhone 客户端。但是,这没有足够的粒度。我希望能够将适当的错误发送回 iPhone 客户端,例如:“未找到用户”或“密码错误”。使用我现有的代码,我看不出这是如何实现的。

我尝试在 passport.js 网站上按照示例进行自定义回调,但由于缺乏对节点的理解,我无法让它工作。我怎样才能修改我的代码,以便能够发回带有适当错误代码/消息的 res.json?

我现在正在尝试这样的事情:

// In app.js
app.post('/login', function(req, res, next) {
    passport.authenticate('local', function(err, user, info) {
        if (err) { return next(err) }
        if (!user) {
            console.log(info);
            // *** Display message without using flash option
            // re-render the login form with a message
            return res.redirect('/login');
        }
        console.log('got user');
        return res.json(200, {user_id: user._id});
    })(req, res, next);
});

// In user.js
UserSchema.static('authenticate', function(username, password, callback) {
    this.findOne({ username: username }, function(err, user) {
        if (err){
            console.log('findOne error occurred');
            return callback(err);
        }
        if (!user){
            return callback(null, false);
        }
        user.verifyPassword(password, function(err, passwordCorrect){
            if (err){
                return callback(err);
            }
            if (!passwordCorrect){
                return callback(err, false, {message: 'bad password'});
            }
            console.log('User Found, returning user');
            return callback(null, user);
        });
    });
});

但是当我尝试 console.log(info) 时,它只是说未定义。我不知道如何让这个自定义回调工作......任何帮助将不胜感激!

4

6 回答 6

74

我遇到了类似的问题Passport并且登录响应失败。我正在构建一个 API,并希望所有响应都以JSON. 401Passport 以 status:和 body:响应无效密码Unauthorized那只是正文中的一个文本字符串,而不是 JSON,所以它破坏了我期望所有 JSON 的客户端。

事实证明,有一种方法可以让 Passport 只将错误返回给框架,而不是尝试自己发送响应。

答案是设置failWithError传递给身份验证的选项: https ://github.com/jaredhanson/passport/issues/126#issuecomment-32333163

来自 jaredhanson 在问题中的评论:

app.post('/login',
  passport.authenticate('local', { failWithError: true }),
  function(req, res, next) {
    // handle success
    if (req.xhr) { return res.json({ id: req.user.id }); }
    return res.redirect('/');
  },
  function(err, req, res, next) {
    // handle error
    if (req.xhr) { return res.json(err); }
    return res.redirect('/login');
  }
);

这将在 Passport 调用之后调用错误处理程序next(err)。对于我的应用程序,我编写了一个通用错误处理程序,该处理程序特定于我仅提供 JSON 错误的用例:

// Middleware error handler for json response
function handleError(err,req,res,next){
    var output = {
        error: {
            name: err.name,
            message: err.message,
            text: err.toString()
        }
    };
    var statusCode = err.status || 500;
    res.status(statusCode).json(output);
}

然后我将它用于所有 api 路由:

var api = express.Router();
...
//set up some routes here, attached to api
...
// error handling middleware last
api.use( [
        handleError
        ] );

我没有failWithError在文档中找到该选项。我在调试器中跟踪代码时偶然发现了它。

此外,在我弄清楚这一点之前,我尝试了@Kevin_Dente 答案中提到的“自定义回调”,但它对我不起作用。我不确定这是针对旧版本的 Passport 还是我做错了。

于 2016-01-09T21:32:27.603 回答
31

我相信您的“身份验证”静态调用的回调函数(在您的代码中称为“回调”)接受您的代码可以提供的第三个参数 - “信息”。然后,不是传入 { failureRedirect: ...} 对象,而是传入一个接受 3 个参数的函数 - err、user 和 info。您在身份验证方法中提供的“信息”将传递给此回调。

Passport 将此场景称为“自定义回调”。请参阅此处的文档:http: //passportjs.org/guide/authenticate/

于 2013-03-13T22:07:32.470 回答
9

自定义回调有一个官方文档:

app.get('/login', function(req, res, next) {
  passport.authenticate('local', function(err, user, info) {
    if (err) { return next(err); }
    if (!user) { return res.redirect('/login'); }
    req.logIn(user, function(err) {
      if (err) { return next(err); }
      return res.redirect('/users/' + user.username);
    });
  })(req, res, next);
});

https://github.com/passport/www.passportjs.org/blob/master/views/docs/authenticate.md

于 2017-10-29T12:57:41.810 回答
2

根据您的官方文档,Passport可以使用自定义回调函数来处理授权失败的情况并覆盖默认消息。

如果您正在开发 REST API,然后您希望发送漂亮的 JSON 响应,如下所示:

{
    "error": {
        "name": "JsonWebTokenError",
        "message": "invalid signature"
    },
    "message": "You are not authorized to access this protected resource",
    "statusCode": 401,
    "data": [],
    "success": false
}

我正在使用Passport JWT身份验证来保护我的一些路由,并应用authMiddleware如下:

应用程序/中间件/authMiddleware.js

const express = require('express');
const router = express.Router();
const passport = require('passport');
const _ = require('lodash');

router.all('*', function (req, res, next) {
  passport.authenticate('local', function(err, user, info) {

    // If authentication failed, `user` will be set to false. If an exception occurred, `err` will be set.
    if (err || !user || _.isEmpty(user)) {
      // PASS THE ERROR OBJECT TO THE NEXT ROUTE i.e THE APP'S COMMON ERROR HANDLING MIDDLEWARE
      return next(info);
    } else {
      return next();
    }
  })(req, res, next);
});

module.exports = router;

应用程序/路由/approutes.js

const authMiddleware = require('../middlewares/authMiddleware');

module.exports = function (app) {
  // secure the route by applying authentication middleware
  app.use('/users', authMiddleware);
  .....
  ...
  ..

  // ERROR-HANDLING MIDDLEWARE FOR SENDING ERROR RESPONSES TO MAINTAIN A CONSISTENT FORMAT
  app.use((err, req, res, next) => {
    let responseStatusCode = 500;
    let responseObj = {
      success: false,
      data: [],
      error: err,
      message: 'There was some internal server error',
    };

    // IF THERE WAS SOME ERROR THROWN BY PREVIOUS REQUEST
    if (!_.isNil(err)) {
      // IF THE ERROR IS REALTED TO JWT AUTHENTICATE, SET STATUS CODE TO 401 AND SET A CUSTOM MESSAGE FOR UNAUTHORIZED
      if (err.name === 'JsonWebTokenError') {
        responseStatusCode = 401;
        responseObj.message = 'You are not authorized to access this protected resource';
      }
    }

    if (!res.headersSent) {
      res.status(responseStatusCode).json(responseObj);
    }
  });
};
于 2019-06-24T04:48:34.847 回答
1

您可以在不使用passReqToCallback策略定义中的属性的情况下进行自定义回调:

passport.use(new LocalStrategy({passReqToCallback: true}, validateUserPassword));

然后,您可以将自定义身份验证错误代码添加到策略代码中的请求中:

var validateUserPassword = function (req, username, password, done) {
    userService.findUser(username)
        .then(user => {
            if (!user) {
                req.authError = "UserNotFound";
                return done(null, false);
            }

最后,您可以在路线中处理这些自定义错误:

app.post('/login', passport.authenticate('local', { failWithError: true })      
    function (req, res) {
        ....
    }, function(err, req, res, next) {
        if(req.autherror) {
            res.status(401).send(req.autherror)
        } else {
            ....
        }
    }
);
于 2018-02-20T16:44:50.723 回答
0

一个简短的解决方法是模拟最初旨在支持连接闪存的 Flash 方法调用,并使用此方法返回 JSON 对象。

首先定义“模拟器”:

var emulateFlash = function (req, res, next) {
        req.flash = (type, message) => {
            return res.status(403).send({ status: "fail", message });
        }
        next();
    }

这将注入 flash 方法,该方法将在失败时发送错误 JSON 对象。

在路线中执行以下操作:

1st,使用模拟器全面使用:

router.use(emulateFlash);

可以改为在所需的每条路线上使用 emulateFlash 方法。

2、在路由上使用authenticate时,使用消息指定failureFlash选项:

router.route("/signin")
    .post(.authenticate('local', { session: false,  failureFlash: "Invalid email or password."}), UsersController.signIn);

我对失败的身份验证和成功的身份验证都进行了测试,发现它有效。查看代码,除了实现需要更多工作的回调方法之外,我找不到任何其他方法来返回对象。

于 2020-04-19T21:12:57.850 回答