美文网首页NodeJS-Oauth2.0
NodeJS实现Oauth2.0 RESTful API(3.

NodeJS实现Oauth2.0 RESTful API(3.

作者: 冰果2016 | 来源:发表于2018-01-02 18:26 被阅读839次

    在上一节中我们实现了针对宠物的增删改查的API,在这一节中我们将使用Passport创建用户账户和身份验证。在本节中将学习如何添加用户账户,实现用户身份验证以及控制对宠物园信息的访问。

    Passport

    Passport 是专门为身份认证而设计的 Node.js 中间件。为了应对认证方式多种多样,包括最简单的帐号密码到各大网站提供的 API ( Facebook, Twitter, Google ),Passport 采用了一种名为策略(Strategies)的方案,也就是为每一种认证提供一个独立的策略,你需要哪一个,才加载,以保证程式的简洁性。这样的设计使 Passport 在 Node.js 的社区中大受欢迎,基本上所有主流的认证方式都有对应的策略存在。

    在本节中我们将使用Basic strategy支持API接口调用时的基本认证。

    User模型

    首先我们增加一个模型用来存储用户,在models文件夹中新增user.js文件。
    打开user.js增加下面的内容:

    var mongoose = require('mongoose');
    var bcrypt = require('bcrypt-nodejs'); // 密码进行加密处理
    
    var Schema = mongoose.Schema;
    
    // 定义用户模式
    var userSchema = new Schema({
        username: { type: String, unique: true, required: true },
        password: { type: String, required: true }
    });
    
    // save方法调用之前执行
    userSchema.pre('save', function(next) {
        var self = this;
        if (!self.isModified('password')) {
            return next();
        };
        bcrypt.genSalt(5, function(err, salt) {
            if (err) {
                return next(err);
            }
            bcrypt.hash(self.password, salt, null, function(err, hash) {
                if (err) {
                    return next(err);
                }
                self.password = hash;
                next();
            });
        });
    
    });
    
    // 验证password
    userSchema.methods.verifyPassword = function(password, callback) {
        bcrypt.compare(password, this.password, function(err, match) {
            if (err) {
                return callback(err);
            }
            callback(null, match);
        })
    }
    
    module.exports = mongoose.model('User', userSchema);
    

    User Controller

    controller文件夹中增加user.js文件,在user controller
    中来添加和查看用户。

    // Load required packages
    var User = require('../models/user');
    
    // Create endpoint /api/users for POST
    exports.postUsers = function(req, res) {
      var user = new User({
        username: req.body.username,
        password: req.body.password
      });
    
      user.save(function(err) {
        if (err)
          res.send(err);
    
        res.json({ message: 'New beer drinker added to the locker room!' });
      });
    };
    
    // Create endpoint /api/users for GET
    exports.getUsers = function(req, res) {
      User.find(function(err, users) {
        if (err)
          res.send(err);
    
        res.json(users);
      });
    };
    

    更新server.js

    server.js增加新的路由

    // Load required packages
    ...
    var userController = require('./controllers/user');
    
    ...
    
    // Create endpoint handlers for /users
    router.route('/users')
      .post(userController.postUsers)
      .get(userController.getUsers);
    

    通过Postman创建Post和Get请求,地址为http://localhost:3000/api/users

    Auth Controller

    npm install passport --save
    npm install passport-http --save
    

    安装passport中间页件和passport-http中间件。passport-http可以为我们的API 请求提供BasicDigest认证策略。

    var passport = require('passport');
    var BasicStrategy = require('passport-http').BasicStrategy;
    var User = require('../models/user');
    // 用于认证用户
    passport.use("basic", new BasicStrategy(
        function(username, password, done) {
            console.log('basic authentication');
            User.findOne({ username: username }, function(err, user) {
                if (err) {
                    return done(err)
                }
                // 用户不存在
                if (!user) {
                    return done(null, false, { message: "Invalid user" })
                }
                // 检查用户密码
                user.verifyPassword(password, function(err, match) {
                    // 密码不匹配
                    if (!match) {
                        return done(null, false)
                    }
                    console.log(match)
                    // 成功
                    return done(null, user)
                })
    
            })
        }
    ));
    exports.isAuthenticated = passport.authenticate('basic', { session : false });
    

    我们使用passport-http包里的基本认证策略,在BasicStrategy中我们定认一个回调,它将尝试使用提供的用户名查找用户,如果用户存在则检查用户的密码是否正确。如果验证通过,则返回这个用户。

    最后一部分,导出isAuthenticated函数,这个函数告诉passport使用BasicStrategy进行身份验证。session被设置为false,告诉passport在调用我们的API之间不存储会话变量。这样用户在每次调用API时需要提交用户名和密码。

    更新Server.js

    更新Server.js,添加passport中间件,更新每个API接口,在每个API被调用前先调用isAuthenticated函数。

    // Load required packages
    ...
    var passport = require('passport');
    var authController = require('./controllers/auth');
    
    // 在应用中使用passport中间件
    app.use(passport.initialize());
    ...
    // 使用BasicStrategy 
    router.route('/pets')
        .post(authController.isAuthenticated, petController.postPets)
        .get(authController.isAuthenticated, petController.getPets);
    router.route('/pets/:pet_id')
        .get(authController.isAuthenticated, petController.getPet)
        .put(authController.isAuthenticated, petController.updatePet)
        .delete(authController.isAuthenticated, petController.deletePet);
    router.route('/users')
        .post(userController.postUsers)
        .get(authController.isAuthenticated, userController.getUsers); 
    ...
    

    Postman测试

    image.png
    image.png
    image.png

    更新pet controller

    现在我们可以对我们的API调用进行用户认证了。我们还需要在宠物的CRUD操作时确保由我们的认证用户操作。
    passport的好处之一就是它会自动将认证用户设置在req.user对象中。这样我们就可以很容易的通过req.user._id来获取用户ID。

    var postPets = function(req, res) {
        // 创建Pet模型的一个实例
        var pet = new Pet();
        // 使用Post数据设置这个实例的属性
        pet.name = req.body.name;
        pet.type = req.body.type;
        pet.quantity = req.body.quantity;
        pet.userId = req.user._id;
    
        // 保存实例并检查错误
        pet.save(function(err) {
            if (err) {
                res.json({ message: 'error', data: err });
                return;
            }
            res.json({ message: 'done', data: pet });
        });
    };
    
    var getPets = function(req, res) {
        Pet.find({ userId: req.user._id }, function(err, pets) {
            if (err) {
                res.json({ message: 'error', data: err });
                return;
            }
            res.json({ message: 'done', data: pets });
        });
    };
    
    var getPet = function(req, res) {
        Pet.findById({ userId: req.user._id, _id: req.params.pet_id }, function(err, pet) {
            if (err) {
                res.json({ message: 'error', data: err });
                return;
            }
            res.json({ message: 'done', data: pet });
        });
    };
    
    var updatePet = function(req, res) {
        Pet.update({ userId: req.user._id, _id: req.params.pet_id }, { quantity: req.body.quantity }, function(err, num) {
            if (err) {
                res.json({ message: 'error', data: err });
            }
            res.json({ message: ' update' })
        })
    };
    
    var deletePet = function(req, res) {
        Pet.remove({ userId: req.user._id, _id: req.params.pet_id }, function(err) {
            if (err) {
                res.json({ message: 'error', data: err });
            }
            res.json({ message: 'pet remove!' })
        });
    };
    

    现在我们就可以添加多个用户,让每个用户添加,删除,更新和获得自己操作的宠物,而不用担心宠物的管理混乱了。下一节,我们会介绍其他三方通过OAuth2orize提供的OAuth访问我们的宠物园。

    完整代码请访问github

    相关文章

      网友评论

        本文标题:NodeJS实现Oauth2.0 RESTful API(3.

        本文链接:https://www.haomeiwen.com/subject/fxkqnxtx.html