node.js 是否有任何现有的用户身份验证库?特别是我正在寻找可以为用户进行密码身份验证的东西(使用自定义后端身份验证数据库),并将该用户与会话相关联。
在我写一个 auth 库之前,我想我会看看人们是否知道现有的库。通过谷歌搜索找不到任何明显的东西。
-Shreyas
node.js 是否有任何现有的用户身份验证库?特别是我正在寻找可以为用户进行密码身份验证的东西(使用自定义后端身份验证数据库),并将该用户与会话相关联。
在我写一个 auth 库之前,我想我会看看人们是否知道现有的库。通过谷歌搜索找不到任何明显的东西。
-Shreyas
如果您正在寻找 Connect 或 Express 的身份验证框架,Passport 值得研究:https ://github.com/jaredhanson/passport
(披露:我是 Passport 的开发者)
在调查了 connect-auth 和everyauth 之后,我开发了 Passport。虽然它们都是很棒的模块,但它们并不适合我的需求。我想要更轻巧且不引人注目的东西。
Passport 被分解为单独的模块,因此您可以选择仅使用您需要的内容(OAuth,仅在必要时使用)。Passport 也不会在您的应用程序中安装任何路由,让您可以灵活地决定何时何地进行身份验证,并使用挂钩来控制身份验证成功或失败时发生的情况。
例如,这是设置基于表单(用户名和密码)身份验证的两步过程:
passport.use(new LocalStrategy(
function(username, password, done) {
// Find the user from your DB (MongoDB, CouchDB, other...)
User.findOne({ username: username, password: password }, function (err, user) {
done(err, user);
});
}
));
app.post('/login',
passport.authenticate('local', { failureRedirect: '/login' }),
function(req, res) {
// Authentication successful. Redirect home.
res.redirect('/');
});
其他策略可用于通过 Facebook、Twitter 等进行身份验证。如有必要,可以插入自定义策略。
我想您没有找到很多好的库的原因是使用库进行身份验证大多是过度设计的。
您正在寻找的只是一个会话绑定器 :) 一个会话:
if login and user == xxx and pwd == xxx
then store an authenticated=true into the session
if logout destroy session
就是这样。
我也在使用connect但我不使用 connect-auth 有两个原因:
恕我直言,connect-auth 打破了连接的非常强大且易于阅读的洋葱环架构。不行-我的意见:)。您可以在此处找到关于连接如何工作和洋葱圈想法的非常好的简短文章。
如果您 - 如所写 - 只想对数据库或文件使用基本或 http 登录。Connect-auth 太大了。它更适用于 OAuth 1.0、OAuth 2.0 和 Co 之类的东西
(已经完成。只需执行它以进行测试,但如果您想在生产中使用它,请确保使用 https)(并且要符合 REST-Principle-Compliant 您应该使用 POST-Request 而不是 GET-Request b/c你改变一个状态:)
var connect = require('connect');
var urlparser = require('url');
var authCheck = function (req, res, next) {
url = req.urlp = urlparser.parse(req.url, true);
// ####
// Logout
if ( url.pathname == "/logout" ) {
req.session.destroy();
}
// ####
// Is User already validated?
if (req.session && req.session.auth == true) {
next(); // stop here and pass to the next onion ring of connect
return;
}
// ########
// Auth - Replace this example with your Database, Auth-File or other things
// If Database, you need a Async callback...
if ( url.pathname == "/login" &&
url.query.name == "max" &&
url.query.pwd == "herewego" ) {
req.session.auth = true;
next();
return;
}
// ####
// This user is not authorized. Stop talking to him.
res.writeHead(403);
res.end('Sorry you are not authorized.\n\nFor a login use: /login?name=max&pwd=herewego');
return;
}
var helloWorldContent = function (req, res, next) {
res.writeHead(200, { 'Content-Type': 'text/plain' });
res.end('authorized. Walk around :) or use /logout to leave\n\nYou are currently at '+req.urlp.pathname);
}
var server = connect.createServer(
connect.logger({ format: ':method :url' }),
connect.cookieParser(),
connect.session({ secret: 'foobar' }),
connect.bodyParser(),
authCheck,
helloWorldContent
);
server.listen(3000);
我在一年前写了这个声明,目前没有活动的节点项目。因此 Express 中可能存在 API 更改。如果我应该更改任何内容,请添加评论。
看起来连接中间件的连接身份验证插件正是我需要的
我正在使用 express [ http://expressjs.com ],因此 connect 插件非常适合,因为 express 是 connect 的子类(好的 - 原型)
我基本上在寻找同样的东西。具体来说,我想要以下内容:
我最终做的是创建我自己的中间件函数check_auth
,我将它作为参数传递给我想要验证的每个路由。check_auth
仅检查会话,如果用户未登录,则将其重定向到登录页面,如下所示:
function check_auth(req, res, next) {
// if the user isn't logged in, redirect them to a login page
if(!req.session.login) {
res.redirect("/login");
return; // the buck stops here... we do not call next(), because
// we don't want to proceed; instead we want to show a login page
}
// the user is logged in, so call next()
next();
}
然后对于每条路由,我确保这个函数作为中间件传递。例如:
app.get('/tasks', check_auth, function(req, res) {
// snip
});
最后,我们需要实际处理登录过程。这很简单:
app.get('/login', function(req, res) {
res.render("login", {layout:false});
});
app.post('/login', function(req, res) {
// here, I'm using mongoose.js to search for the user in mongodb
var user_query = UserModel.findOne({email:req.body.email}, function(err, user){
if(err) {
res.render("login", {layout:false, locals:{ error:err } });
return;
}
if(!user || user.password != req.body.password) {
res.render("login",
{layout:false,
locals:{ error:"Invalid login!", email:req.body.email }
}
);
} else {
// successful login; store the session info
req.session.login = req.body.email;
res.redirect("/");
}
});
});
无论如何,这种方法主要被设计为灵活和简单。我相信有很多方法可以改进它。如果您有任何意见,我非常希望收到您的反馈。
编辑:这是一个简化的例子。在生产系统中,您永远不想以纯文本形式存储和比较密码。正如评论者指出的那样,有一些库可以帮助管理密码安全。
如果您想要第三方/社交网络登录集成,还可以查看everyauth 。
这是我的一个项目中用于基本身份验证的一些代码。我将它用于带有附加身份验证数据缓存的 CouchDB,但我删除了该代码。
围绕您的请求处理包装一个身份验证方法,并为不成功的身份验证提供第二个回调。成功回调将获取用户名作为附加参数。不要忘记在失败回调中正确处理带有错误或缺少凭据的请求:
/**
* Authenticate a request against this authentication instance.
*
* @param request
* @param failureCallback
* @param successCallback
* @return
*/
Auth.prototype.authenticate = function(request, failureCallback, successCallback)
{
var requestUsername = "";
var requestPassword = "";
if (!request.headers['authorization'])
{
failureCallback();
}
else
{
var auth = this._decodeBase64(request.headers['authorization']);
if (auth)
{
requestUsername = auth.username;
requestPassword = auth.password;
}
else
{
failureCallback();
}
}
//TODO: Query your database (don't forget to do so async)
db.query( function(result)
{
if (result.username == requestUsername && result.password == requestPassword)
{
successCallback(requestUsername);
}
else
{
failureCallback();
}
});
};
/**
* Internal method for extracting username and password out of a Basic
* Authentication header field.
*
* @param headerValue
* @return
*/
Auth.prototype._decodeBase64 = function(headerValue)
{
var value;
if (value = headerValue.match("^Basic\\s([A-Za-z0-9+/=]+)$"))
{
var auth = (new Buffer(value[1] || "", "base64")).toString("ascii");
return {
username : auth.slice(0, auth.indexOf(':')),
password : auth.slice(auth.indexOf(':') + 1, auth.length)
};
}
else
{
return null;
}
};
几年过去了,我想介绍一下我的 Express 身份验证解决方案。它被称为Lockit。您可以在GitHub 上找到该项目,并在我的博客上找到简短介绍。
那么与现有的解决方案有什么不同呢?
require('lockit')
,,,lockit(app)
完成username
和password
。看看例子。
有一个名为Drywall的项目,它使用Passport实现了用户登录系统,并且还有一个用户管理管理面板。如果您正在寻找一个功能齐全的用户身份验证和管理系统,类似于 Django 的系统,但适用于 Node.js,就是这样。我发现它是构建需要用户身份验证和管理系统的节点应用程序的一个非常好的起点。有关 Passport 如何工作的信息,请参阅Jared Hanson 的回答。
以下是两个流行的用于节点 js 身份验证的 Github 库:
我很失望地看到这篇文章中的一些建议代码示例不能防止诸如会话固定或定时攻击等基本身份验证漏洞。
与这里的几个建议相反,身份验证并不简单,手动处理解决方案并不总是微不足道的。我会推荐passportjs和bcrypt。
但是,如果您确实决定手动解决方案,请查看express js 提供的示例以获得灵感。
祝你好运。
使用 mongo 的快速简单示例,用于为 ie Angular 客户端提供用户身份验证的 API
在 app.js 中
var express = require('express');
var MongoStore = require('connect-mongo')(express);
// ...
app.use(express.cookieParser());
// obviously change db settings to suit
app.use(express.session({
secret: 'blah1234',
store: new MongoStore({
db: 'dbname',
host: 'localhost',
port: 27017
})
}));
app.use(app.router);
对于您的路线,如下所示:
// (mongo connection stuff)
exports.login = function(req, res) {
var email = req.body.email;
// use bcrypt in production for password hashing
var password = req.body.password;
db.collection('users', function(err, collection) {
collection.findOne({'email': email, 'password': password}, function(err, user) {
if (err) {
res.send(500);
} else {
if(user !== null) {
req.session.user = user;
res.send(200);
} else {
res.send(401);
}
}
});
});
};
然后在需要身份验证的路线中,您只需检查用户会话:
if (!req.session.user) {
res.send(403);
}
这是一个使用时间戳记令牌的新身份验证库。令牌可以通过电子邮件或短信发送给用户,而无需将它们存储在数据库中。它可用于无密码身份验证或双因素身份验证。
https://github.com/vote539/easy-no-password
披露:我是这个库的开发者。
如果您需要使用 Microsoft Windows 用户帐户通过 SSO(单点登录)进行身份验证。你可以试试https://github.com/jlguenego/node-expose-sspi。
它将为您提供一个req.sso
包含所有客户端用户信息(登录名、显示名称、sid、组)的对象。
const express = require("express");
const { sso, sspi } = require("node-expose-sspi");
sso.config.debug = false;
const app = express();
app.use(sso.auth());
app.use((req, res, next) => {
res.json({
sso: req.sso
});
});
app.listen(3000, () => console.log("Server started on port 3000"));
免责声明:我是 node-expose-sspi 的作者。
一个轻量级、零配置的用户认证模块。它不需要单独的数据库。
https://www.npmjs.com/package/slimauth
这很简单:
app.get('/private-page', (req, res) => {
if (req.user.isAuthorized) {
// user is logged in! send the requested page
// you can access req.user.email
}
else {
// user not logged in. redirect to login page
}
})