用NodeJS完成简单的身份验证

本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂,而且其将源码放到 GitHub 上,运行即可。

好了。我们开始。使用 NodeJS 完成身份验证的功能,这里除了 express 之外,还需要使用 MongoDB 数据库用于保存和读取出我们的用户。请确保好在实践之前,你的机器上有 nodejs 和 MongoDB。如果没有,可以使用npm install来安装。

应用部分

首先,了解以下什么是 pass.js ?

在源文件中,我们使用了一个文件pass.js,用它来作为此次身份验证应用中的一个模块。用它可以来保证我们保存到数据库中的用户名和密码是经过加密的,并且可以用于验证用户输入的密码和数据库中的密码是否相同。

一、模块依赖

和很多的 NodeJS 应用一样,这里是我们的应用需要依赖的模块:

  1. var express = require('express'),
  2. http = require('http'),
  3. path = require('path'),
  4. mongoose = require('mongoose'),
  5. hash = require('./pass').hash;
  6. var app = express();

二、数据库和模型

首先,我们需要开启我们本地的 MongoDB 服务器。在这里,我使用myapp作为我的数据库。我们指定我们的数据库架构,其中包含着用户名和密码,还有哈希加密部分。

  1. mongoose.connect('mongodb://localhost/myapp');
  2. var UserSchema = new mongoose.Schema({
  3. username: String,
  4. password: String,
  5. salt: String,
  6. hash: String
  7. });
  8. var User = mongoose.model('users', UserSchema);

三、配置和中间件

和一般的 express 应用一样,需要配置好应用所需要使用和定义的内容项。包括session、模板引擎等。这里还有个中间件,用于处理用户登录或者注册之后回显错误信息。

  1. app.configure(function () {
  2. app.use(express.bodyParser());
  3. app.use(express.cookieParser('Authentication Tutorial '));
  4. app.use(express.session());
  5. app.set('views', __dirname + '/views');
  6. app.set('view engine', 'jade');
  7. });
  8. app.use(function (req, res, next) {
  9. var err = req.session.error, //主要代码,防止页面刷新表单重复提交
  10. msg = req.session.success;
  11. delete req.session.error;
  12. delete req.session.success;
  13. res.locals.message = '';
  14. if (err) res.locals.message = '<p class='msg error'>' + err + '</p>';
  15. if (msg) res.locals.message = '<p class='msg success'>' + msg + '</p>';
  16. next();
  17. });

四、辅助函数

在身份验证功能中,基本上是用户输入了用户名和密码,提交到我们的服务器中,通过取到的用户名和密码和数据库中进行比较。先检测用户是否存在,如果是,则再检查密码是否正确。

  1. function authenticate(name, pass, fn) {
  2. if (!module.parent) console.log('authenticating %s:%s', name, pass);
  3. User.findOne({
  4. username: name
  5. },
  6. function (err, user) {
  7. if (user) {
  8. if (err) return fn(new Error('cannot find user'));
  9. hash(pass, user.salt, function (err, hash) {
  10. if (err) return fn(err);
  11. if (hash == user.hash) return fn(null, user);
  12. fn(new Error('invalid password'));
  13. });
  14. } else {
  15. return fn(new Error('cannot find user'));
  16. }
  17. });
  18. }

当我们一个页面需要登录的时候才能访问时,就需要控制用户在没有登录的时候,自动跳转到登录页面去执行登录。

  1. function requiredAuthentication(req, res, next) {
  2. if (req.session.user) {
  3. next();
  4. } else {
  5. req.session.error = 'Access denied!';
  6. res.redirect('/login');
  7. }
  8. }

在注册的时候,我们会校验用户注册的用户名是否已经存在数据库中,通过这个函数可以实现这个功能:

  1. function userExist(req, res, next) {
  2. User.count({
  3. username: req.body.username
  4. }, function (err, count) {
  5. if (count === 0) {
  6. next();
  7. } else {
  8. req.session.error = 'User Exist'
  9. res.redirect('/signup');
  10. }
  11. });
  12. }

五、页面访问路由器控制

什么是路由器控制?我觉得就是当你在浏览器访问某一个路径的时候,身份验证这个应用会决定带你去哪个页面。于是就有了访问的一些规则和路由:

  • /:如果用户已经登录,则显示欢迎某某某;否则提供登录和注册的入口。
  • /signup:用于注册一个新的用户。
  • /login:用户的身份验证,提供登录功能。
  • /profile:只有已经登录的用户才能访问自己的档案。

用户通过某一个链接地址和服务器通讯,并把服务器资源取到本地浏览器来,是一个 GET 请求。而用户提交一个表单到服务器,是一个 POST 的动作。我们需要定义好这一个过程:

  1. //获取首页的处理
  2. app.get('/', function (req, res) {
  3. if (req.session.user) {
  4. res.send('Welcome ' + req.session.user.username + '<br>' + '<a href='/logout'>logout</a>');
  5. } else {
  6. res.send('<a href='/login'> Login</a>' + '<br>' + '<a href='/signup'> Sign Up</a>');
  7. }
  8. });
  9. //访问注册页面,判断用户是否已经登录,是则自动跳首页
  10. app.get('/signup', function (req, res) {
  11. if (req.session.user) {
  12. res.redirect('/');
  13. } else {
  14. res.render('signup');
  15. }
  16. });
  17. //访问登录页面,输出登录表单
  18. app.get('/login', function (req, res) {
  19. res.render('login');
  20. });
  21. //用户登出
  22. app.get('/logout', function (req, res) {
  23. req.session.destroy(function () {
  24. res.redirect('/');
  25. });
  26. });
  27. //访问个人档案页面,需要登录权限控制
  28. app.get('/profile', requiredAuthentication, function (req, res) {
  29. res.send('Profile page of '+ req.session.user.username +'<br>'+' click to <a href='/logout'>logout</a>');
  30. });

在身份验证这个应用中,主要的两个表单是「登录」的表单和「注册」的表单。下面是 POST 的处理:

  1. app.post('/signup', userExist, function (req, res) {
  2. var password = req.body.password;
  3. var username = req.body.username;
  4. hash(password, function (err, salt, hash) {
  5. if (err) throw err;
  6. var user = new User({
  7. username: username,
  8. salt: salt,
  9. hash: hash,
  10. }).save(function (err, newUser) {
  11. if (err) throw err;
  12. authenticate(newUser.username, password, function(err, user){
  13. if(user){
  14. req.session.regenerate(function(){
  15. req.session.user = user;
  16. req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';
  17. res.redirect('/');
  18. });
  19. }
  20. });
  21. });
  22. });
  23. });
  24. app.post('/login', function (req, res) {
  25. authenticate(req.body.username, req.body.password, function (err, user) {
  26. if (user) {
  27. req.session.regenerate(function () {
  28. req.session.user = user;
  29. req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';
  30. res.redirect('/');
  31. });
  32. } else {
  33. req.session.error = 'Authentication failed, please check your ' + ' username and password.';
  34. res.redirect('/login');
  35. }
  36. });
  37. });

一个简单的身份验证功能已经完成,通过NodeJS来做是不是很简单?

恩。现在还有很多很棒的身份验证应用,例如PassprotJSEverAuth,将他们融入到这个登录模块中来,可以让更多的社会化网站用户登录和注册。

(0)

相关推荐