我的NodeJS学习之路7(权限认证)

作者: Devid | 来源:发表于2016-01-25 14:43 被阅读5901次

    请关注专题:我的NodeJS学习之路(实践之路)

    小弟初涉node领域,不足之处,还请多多指教!
    欢迎Star、Fork:https://github.com/gefangshuai/ANodeBlog

    本文来介绍系统中用到的权限认证的知识。

    首先简单介绍一下passportjs
    Passport做登录验证具有:灵活性、模块化、丰富的中间件等特点,更加详细的介绍请参考:http://idlelife.org/archives/808

    如何在项目中使用passport?

    注意:关于passport的配置信息要放置在app.js所有的路由请求上面,这样才能对所有的路由进行过滤。

    1. 安装集成

    npm install passport --save
    

    我们还用到了本地验证策略,所以将passport-local一起安装

    npm install passport-local --save
    

    2. 配置passport

    1. 在项目中引用
    var passport = require('passport');
    var LocalStrategy = require('passport-local').Strategy;
    
    1. 对策略进行配置
    passport.use(new LocalStrategy(callback_function)));
    

    **callback_function: **
    三个参数分别是:usernamepassworddone

    • username:需要验证的“用户名”
    • password:需要验证的“密码”
    • done: 对验证结果的处理方法

    usernamepassword默认对应表单的name="username"name="password",也可以自己定义表单的名字,比如:

    passport.use(new LocalStrategy({
        usernameField: 'email',
        passwordField: 'passwd'
      },
      function(username, password, done) {
        // ...
      }
    ));
    

    关于done函数:

    • 处理成功,return done(null, user)
    • 处理失败return done(err)或者return done(null, false)或者return done(null, false, { message: 'Incorrect password.' })
    1. 对Session进行序列化和反序列化
      序列化:
      即:将唯一的值(如登录用户的id)序列化到session中,即sessionID,同时它将作为凭证存储在用户cookie中。
    passport.serializeUser(function (user, done) {
        done(null, user.id);
    });
    

    反序列化:
    即:
    根据存在的sessionID,从数据库中查询user并存储与req.user中。

    passport.deserializeUser(function (id, done) {
        done(null, id);
    });
    

    做完以上三步,就已经简单地将passport集成在项目中了。

    3. 做登录处理

    在处理登陆请求的路由中,加入登录处理的配置信息,然后passport会自动帮你处理是否登录成功(有点类似shiro)。

    router.post('/login', passport.authenticate('local', options),  success_callback);
    

    options可以定义的参数:

    • session:Boolean。设置是否需要session,默认为true
    • successRedirect:String。设置当验证成功时的跳转链接
    • failureRedirect:String。设置当验证失败时的跳转链接
    • failureFlash:Boolean or String。设置为Boolean时,express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。
    • successFlash:Boolean or String。使用方法同上。

    success_callback:验证成功后做的处理,可以是登录成功后的跳转等等。

    4. 在方法中使用校验

    使用其实很简单,passport扩展了http request默认提供了一些内置方法:

    • request.logIn(user, options, callback): 将登录用户存入session。
    req.logIn(user, function(err) {
      if (err) { return next(err); }
      return res.redirect('/users/' + user.username);
    });
    

    这样,就可以通过req.user获取user对象了

    • request.logOut():退出登录用户,删除session信息。
    • request.isAuthenticated():判断当前请求的用户是否已授权(已登录),返回truefalse
    • request.isUnauthenticated():跟request.isAuthenticated()相反。

    有了上面的知识,我们就可以统一进行验证了。
    如:对于后台管理的模块,必须登录用户才能有权限,所以可以对后台管理的所有路由进行拦截,为了方便我们可以自定义一个中间件来统一进行处理:验证通过,继续;验证不通过,跳回到登录页面,并告知需要登陆。

    5. 封装验证中间件:(authority.js)

    module.exports = {
        /**
         * 登陆权限验证
         */
        isAuthenticated: function (req, res, next) {
            if(req.isAuthenticated()) {
                return next();
            }else{
                req.flash(config.constant.flash.error, '请先登录!');
                res.redirect('/login')
            }
        }
    };
    

    6. 统一对路由进行过滤

    app.use('/dashboard', authority.isAuthenticated, require('./routes/dashboard'));
    app.use('/dashboard/p', authority.isAuthenticated, require('./routes/dashboard-p'));
    app.use('/dashboard/u', authority.isAuthenticated, require('./routes/dashboard-u'));
    

    关于passport-local的实用实例,在官方wiki有给出,可以做一下参考。

    请关注专题:我的NodeJS学习之路(实践之路)

    相关文章

      网友评论

        本文标题:我的NodeJS学习之路7(权限认证)

        本文链接:https://www.haomeiwen.com/subject/uaglkttx.html