用NodeJS完成简单的身份验证
本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂,而且其将源码放到 GitHub 上,运行即可。
好了。我们开始。使用 NodeJS 完成身份验证的功能,这里除了 express 之外,还需要使用 MongoDB 数据库用于保存和读取出我们的用户。请确保好在实践之前,你的机器上有 nodejs 和 MongoDB。如果没有,可以使用npm install来安装。
应用部分
首先,了解以下什么是 pass.js ?
在源文件中,我们使用了一个文件pass.js,用它来作为此次身份验证应用中的一个模块。用它可以来保证我们保存到数据库中的用户名和密码是经过加密的,并且可以用于验证用户输入的密码和数据库中的密码是否相同。
一、模块依赖
和很多的 NodeJS 应用一样,这里是我们的应用需要依赖的模块:
var express = require('express'),http = require('http'),path = require('path'),mongoose = require('mongoose'),hash = require('./pass').hash;var app = express();
二、数据库和模型
首先,我们需要开启我们本地的 MongoDB 服务器。在这里,我使用myapp作为我的数据库。我们指定我们的数据库架构,其中包含着用户名和密码,还有哈希加密部分。
mongoose.connect('mongodb://localhost/myapp');var UserSchema = new mongoose.Schema({username: String,password: String,salt: String,hash: String});var User = mongoose.model('users', UserSchema);
三、配置和中间件
和一般的 express 应用一样,需要配置好应用所需要使用和定义的内容项。包括session、模板引擎等。这里还有个中间件,用于处理用户登录或者注册之后回显错误信息。
app.configure(function () {app.use(express.bodyParser());app.use(express.cookieParser('Authentication Tutorial '));app.use(express.session());app.set('views', __dirname + '/views');app.set('view engine', 'jade');});app.use(function (req, res, next) {var err = req.session.error, //主要代码,防止页面刷新表单重复提交msg = req.session.success;delete req.session.error;delete req.session.success;res.locals.message = '';if (err) res.locals.message = '<p class='msg error'>' + err + '</p>';if (msg) res.locals.message = '<p class='msg success'>' + msg + '</p>';next();});
四、辅助函数
在身份验证功能中,基本上是用户输入了用户名和密码,提交到我们的服务器中,通过取到的用户名和密码和数据库中进行比较。先检测用户是否存在,如果是,则再检查密码是否正确。
function authenticate(name, pass, fn) {if (!module.parent) console.log('authenticating %s:%s', name, pass);User.findOne({username: name},function (err, user) {if (user) {if (err) return fn(new Error('cannot find user'));hash(pass, user.salt, function (err, hash) {if (err) return fn(err);if (hash == user.hash) return fn(null, user);fn(new Error('invalid password'));});} else {return fn(new Error('cannot find user'));}});}
当我们一个页面需要登录的时候才能访问时,就需要控制用户在没有登录的时候,自动跳转到登录页面去执行登录。
function requiredAuthentication(req, res, next) {if (req.session.user) {next();} else {req.session.error = 'Access denied!';res.redirect('/login');}}
在注册的时候,我们会校验用户注册的用户名是否已经存在数据库中,通过这个函数可以实现这个功能:
function userExist(req, res, next) {User.count({username: req.body.username}, function (err, count) {if (count === 0) {next();} else {req.session.error = 'User Exist'res.redirect('/signup');}});}
五、页面访问路由器控制
什么是路由器控制?我觉得就是当你在浏览器访问某一个路径的时候,身份验证这个应用会决定带你去哪个页面。于是就有了访问的一些规则和路由:
/:如果用户已经登录,则显示欢迎某某某;否则提供登录和注册的入口。/signup:用于注册一个新的用户。/login:用户的身份验证,提供登录功能。/profile:只有已经登录的用户才能访问自己的档案。
用户通过某一个链接地址和服务器通讯,并把服务器资源取到本地浏览器来,是一个 GET 请求。而用户提交一个表单到服务器,是一个 POST 的动作。我们需要定义好这一个过程:
//获取首页的处理app.get('/', function (req, res) {if (req.session.user) {res.send('Welcome ' + req.session.user.username + '<br>' + '<a href='/logout'>logout</a>');} else {res.send('<a href='/login'> Login</a>' + '<br>' + '<a href='/signup'> Sign Up</a>');}});//访问注册页面,判断用户是否已经登录,是则自动跳首页app.get('/signup', function (req, res) {if (req.session.user) {res.redirect('/');} else {res.render('signup');}});//访问登录页面,输出登录表单app.get('/login', function (req, res) {res.render('login');});//用户登出app.get('/logout', function (req, res) {req.session.destroy(function () {res.redirect('/');});});//访问个人档案页面,需要登录权限控制app.get('/profile', requiredAuthentication, function (req, res) {res.send('Profile page of '+ req.session.user.username +'<br>'+' click to <a href='/logout'>logout</a>');});
在身份验证这个应用中,主要的两个表单是「登录」的表单和「注册」的表单。下面是 POST 的处理:
app.post('/signup', userExist, function (req, res) {var password = req.body.password;var username = req.body.username;hash(password, function (err, salt, hash) {if (err) throw err;var user = new User({username: username,salt: salt,hash: hash,}).save(function (err, newUser) {if (err) throw err;authenticate(newUser.username, password, function(err, user){if(user){req.session.regenerate(function(){req.session.user = user;req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';res.redirect('/');});}});});});});app.post('/login', function (req, res) {authenticate(req.body.username, req.body.password, function (err, user) {if (user) {req.session.regenerate(function () {req.session.user = user;req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';res.redirect('/');});} else {req.session.error = 'Authentication failed, please check your ' + ' username and password.';res.redirect('/login');}});});
一个简单的身份验证功能已经完成,通过NodeJS来做是不是很简单?
恩。现在还有很多很棒的身份验证应用,例如PassprotJS和EverAuth,将他们融入到这个登录模块中来,可以让更多的社会化网站用户登录和注册。