我正在尝试使用 express 设置 Web 服务器。要访问此服务器,用户必须进行身份验证,为此,我使用 Express 提供的 basicAuth() 中间件。它工作得很好,除了我登录后不知道如何注销!我必须关闭浏览器才能断开连接,但我希望有一个“断开连接”页面,该页面将重定向到“登录”页面(这个页面带有用于登录的可怕表单......)。
有人有想法吗?
感谢提前
PS:我为我可怜的英语道歉:)
问问题
14851 次
4 回答
24
Express 的 basicAuth 使用 HTTP 基本身份验证,其实现不需要 HTML 页面、cookie 或会话 ID。它的主要缺点是不安全,而且我们在这里担心的是,规范中没有服务器指示浏览器注销的机制。
express.basicAuth() 调用 require(blah-blah/connect/lib/utils).unauthorized() 发送一个带有标题“WWW-Authenticate: Basic realm="..."' 的 401 状态。浏览器处理身份验证窗口,然后发送一个标题,如“授权:基本 YmFzaWM6YmFzaWM=”,其中包含用户名和密码。
(express.basicAuth 不安全,尤其是在 HTTP 上,因为您可以通过以下方式获取 username:password
new Buffer('YmFzaWM6YmFzaWM=' , 'base64').toString()
在这种情况下,它给出了基本的:基本的。)
我们的问题是 HTTP 规范没有提供停止发送该标头的方法。HTTPS 的解决方法是将用户重定向到具有错误凭据的同一域上的 URL。
我用于 Express V3 的 HTTP 解决方法可以与 app.use(express.basicAuth(...)) 一起使用。我发现这比其他需要在每个安全路由中调用中间件的解决方案更容易使用,例如 app.get('/secure', checkAuth, function (req, res) {...})。
这是一个工作示例。
var express = require('express'),
http = require('http'),
app = express();
app.use(express.favicon()); // prevent interference during test
app.use(express.bodyParser());
app.use(express.cookieParser());
app.use(express.session({ secret: 'winter is coming' }));
app.use(function (req, res, next) {
if (!req.session.authStatus || 'loggedOut' === req.session.authStatus) {
req.session.authStatus = 'loggingIn';
// cause Express to issue 401 status so browser asks for authentication
req.user = false;
req.remoteUser = false;
if (req.headers && req.headers.authorization) { delete req.headers.authorization; }
}
next();
});
app.use(express.basicAuth(function(user, pass, callback) {
callback(null, user === 'basic' && pass === 'basic');
}, '***** Enter user= basic & password= basic'));
app.use(function (req, res, next) {
req.session.authStatus = 'loggedIn';
next();
});
app.use(app.router);
app.get('/secure', function (req, res) {
res.send([
'You are on a secured page.',
'<br>',
'<a href="./secure">Refresh this page without having to log in again.</a>',
'<br/>',
'<a href="./logout">Log out.</a>'
].join(''));
});
app.get('/logout', function (req, res) {
delete req.session.authStatus;
res.send([
'You are now logged out.',
'<br/>',
'<a href="./secure">Return to the secure page. You will have to log in again.</a>',
].join(''));
});
http.createServer(app).listen(3000, function(){
console.log('Express server listening on port 3000. Point browser to route /secure');
});
PS你的英语很好。
于 2013-06-18T14:58:25.427 回答
11
对于 express.js 4 和 basicAuth,你可以使用这个方法:
app.get('/logout', function (req, res) {
res.set('WWW-Authenticate', 'Basic realm=Authorization Required');
return res.sendStatus(401);
});
于 2015-04-16T21:09:35.920 回答
1
添加到 wyllman,401代码是Unauthorized. 你可以简单地回应res.status(401).send('Logged out')
或者
app.get('/logout', function (req, res) {
res.status(401).send('Logged out')
//or res.status(401).end() if you don't want to send any message
});
于 2018-12-05T06:37:33.180 回答
0
我已经确认使用 http 代码 401 和带有<a>指向 /login 的元素链接的 html 将用户重定向到 /logout 页面是可行的。
于 2020-10-05T09:21:17.583 回答