1

我正在学习 javascript 和 node.js。如您所知,任何节点应用程序最重要的部分之一是登录模块,因此我开始使用护照和本地护照,但我无法理解护照的身份验证方式。我对护照认证过程的理解如下:

'use strict';

var express = require('express');
var app = express();
var passport = require('passport');
var LocalStrategy = require('passport-local').Strategy;
var dbConfig = require('./settings/db.js');
var mongoose = require('mongoose');
var expressSession = require('express-session');
var flash = require('connect-flash');

mongoose.connect(dbConfig.url);

app.use(expressSession({
  secret: 'mySecretKey'
}));
app.use(passport.initialize());
app.use(passport.session());
app.use(flash());

var server = app.listen(3000, function() {
  var host = server.address().address;
  var port = server.address().port;

  console.log('Admin app started at: %s %s ', host, port);
});

passport.serializeUser(function(user, done) {
  console.log('serializing user!');
  done(null, 'Hi');
});

passport.deserializeUser(function(id, done) {
  console.log('deserializing user');
  done(null, {
    '_id': 'Hi',
    'username': 'shankhs',
    'password': 'admin'
  });
});

var isAuthenticated = function(req, res, next) {
  if (req.isAuthenticated()) {
    console.log('Authenticated');
    console.log(req);
    next();
  }
  console.log('redirecting to /');
  console.log(req.isAuthenticated());
  res.redirect('/');
};

app.get('/', function(req, res, next) {
  var fileOptions = {
    root: __dirname,
    dotfiles: 'deny',
    headers: {
      'x-timestamp': Date.now(),
      'x-sent': true
    }
  };
  res.sendFile('login.html', fileOptions, function(err) {
    if (err) {
      console.log(err);
      res.status(err.status).end();
    } else {
      console.log('send login.html!' + Date.now());
    }
  });
});

app.get('/admin', isAuthenticated, function(req, res, next) {
  var fileOptions = {
    root: __dirname,
    headers: {
      'x-timestamp': Date.now(),
      'x-sent': true
    }
  };
  var fileName = 'index.html';
  res.sendFile(fileName, fileOptions, function(err) {
    if (err) {
      console.log(err);
      res.status(err.status).end();
    } else {
      console.log('Send index.html' + Date.now());
    }
  });
});

passport.use('login', new LocalStrategy(
  function(req, username, password, done) {
    console.log('using passport!');
    console.log(req.body.username);
    console.log(req.body.password);
    done(null, {
      '_id': 'Hi',
      'username': 'shankhs',
      'password': 'admin'
    });
  }
));

app.post('/login', function(req, res) {
  console.log(req.params);
  passport.authenticate('login', {
    successRedirect: '/admin',
    failureRedirect: '/',
    failureFlash: true
  })
});
  1. 对 /login 路由的发布请求会调用 async passport.authenticate 调用。
  2. 这个 passport.authenticate 以“策略”为参数
  3. 调用此策略,它返回另一个“完成”异步调用(在我的情况下)没有错误和用户对象
  4. 在“完成”调用之后,调用 serializeUser 并将页面重定向到 /admin
  5. 如果有任何后续请求或调用任何具有 isAuthenticated 钩子的 url,则 passport.initialize 会检查 req.passport.user 对象是否为空。
  6. 如果它为空,则再次重复验证过程。
  7. 如果不是,则 passport.session 调用 passport.deserializeUser 创建 req.user 对象

我的问题如下:

  1. 在“登录”策略中,这三个永远不会被记录:

    console.log('使用护照!'); console.log(req.body.username); console.log(req.body.password);

那么这是否意味着我的“登录”策略永远不会被调用?

  1. 同样,从不调用 serializeUser 和 deserializeUser 中的 console.logs。所以这些函数也没有被调用?

如果我对护照库的理解是正确的,我是否缺少任何要调用的函数?

谢谢

4

1 回答 1

5

对于未来的勇士:

这就是护照应该如何工作的方式。关于护照如何工作的详细说明在这里

这里缺少的是对 /login 的 post 调用中的 bodyparser。你可能认为护照知道如何解析 req.body!错误的!它没有!从 Express v 4 开始,body-parser 必须独立安装并用作:

var bodyParser = require('body-parser');
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({
  extended: true
}));

在帖子请求中:

app.post('/login', function(req, res, next) {
  console.log('in login post!');
  console.log('body parsing: ' + req.body.username + ' ' + req.body.password);
  passport.authenticate('login', function(err, user, info) {
    if (err) {
      console.log('passport err: ' + err);
      return next(err);
    }
    if (!user) {
      console.log('no user found!');
      return res.redirect('/');
    }
    req.logIn(user, function(err) {
      if (err) {
        console.log('login error: ' + err);
        return next(err);
      }
      return res.redirect('/admin');
    });
  })(req, res, next);
});

如您所见,我编写了一个自定义 logIn 回调函数,它比successRedirect 和failureRedirect 更有意义且易于调试。如果没有正文解析器,自定义功能将无法工作,因为护照不知道如何解析 req.body。

护照的api doc应该提到这一点!好吧,既然一切都按预期进行,那么世界现在变得有意义了!

于 2015-02-18T00:45:25.093 回答