koa2 使用passport权限认证中间件

最新推荐文章于 2024-10-05 11:46:22 发布
原创 最新推荐文章于 2024-10-05 11:46:22 发布 · 1.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#koa #passport

本文介绍如何使用Passport中间件在Node.js中实现权限认证,包括配置策略、序列化与反序列化用户信息、利用session存储登录状态等关键步骤。

做后端系统避免不了要做权限认证,比如本地用户登录,第三方登录。
权限认证的思路也比较简单,不外乎就是登录,登出,路由守护三部分。

今天要讲的权限认证中间件是:passport

passport 是 Node 的认证中间件,它的存在只有一个单一的目的,就是认证请求。

配置 passport

在使用 passport 认证之前需要配置三个部分

  1. 注册策略
  2. 序列化
  3. 反序列化
注册策略
// 安装依赖
npm install -S koa-passport
npm install -S passport-local

在项目最常用的方式是通过登录的用户名和密码进行用户身份认证,passport 也提供这种认证的策略,即 passport-local(本地权限认证)

在使用 passport.authenticate('local', ...) 的时候,会执行策略

// passport.js
const passport = require('koa-passport')
const LocalStrategy = require('passport-local').Strategy

// 提交数据(策略)
passport.use(new LocalString(async function (username, password, done) {
    const user = await User.findOne({ username })
    if (user === null) {
      return done(null, false, '用户不存在')
    }
    if (user.password === password) {
      return done(null, user, '登录成功')
    } else {
      return done(null, false, '密码错误')
    }
  })
)

passport 默认使用 usernamepassword 来验证,但实际上也有很多需要用邮箱来验证的,那么如何实现呢?passport 在策略配置里提供了options 参数,用来设置你要验证的字段名称,即usernameField,使用方法如下

passport.use(new LocalStrategy({
    usernameField: 'email',
    passwordField: 'password'
  },
  function(username, password, done) {
    // ...
  }
));
序列化

通过 passport.serializeUser 函数定义序列化操作

passport.serializeUser(function (user, done) {
  done(null, user)
})

在调用 ctx.login() 时会触发序列化操作,把用户对象存到 session 里。

反序列化

通过 passport.deserializeUser 函数定义反序列化操作

passport.deserializeUser(function (user, done) {
  done(null, user)
})

在请求时,session 中如果存在 "passport":{"user":"xxx"} 时会触发定义的反序列化操作

序列化与反序列化的目的:passport 将维持持久的登录会话。为了使持久会话正常工作,必须将经过身份验证的用户序列化到该会话,并在发出后续请求时将其反序列化。在典型的应用程序中,这很简单,只需序列化用户user,然后在反序列化时按user查找用户。

session

passport 中间件需要用到 session 来保存用户登录信息,可以使用 redis 来存储 session 所以你的入口文件应该类似这样

const Koa = require('koa')
const session require('koa-session')
const Redis require('koa-redis')
const passport require('./passport') // 用户定义的策略文件

const app = new Koa()

// session 的加密处理
app.keys = ['adcd', 'keyskeys']
app.use(session({
  key: 'mt',
  prefix: 'mt:uid',
  store: new Redis()
}, app))

app.use(passport.initialize()) // 初始化 passport
app.use(passport.session()) // 存储用户登录的 session 信息 持久登录会话
登录

项目中关于 passport 的配置已经写好了接下来就是用户登录了,通过 passport 暴露给 ctx 的login()方法建立登录会话

// 登录
router.post('/signin', (ctx, next) => {
  return Passport.authenticate('local', function (err, user, info) {
    if (err) {
      ctx.body = {
        code: -1,
        msg: err
      }
    } else if (user) {
      ctx.body = {
        code: 0,
        user,
        msg: info
      }
      return ctx.login(user)
    } else {
      ctx.body = {
        code: 1,
        msg: info
      }
    }
  })(ctx, next)
})
大致流程

1、post请求 /signin ,执行 passport.js 中定义的策略
2、获取用户提交表单 usernamepassword 的值进行身份认证根据不同的状态返回 return done
3、执行 Passport.authenticate 的回调函数,如果身份认证成功执行 ctx.login(user)
4、触发序列化,将用户信息存储到 session

登录成功后 redis 中的信息

在这里插入图片描述

注意上面的代码里有个 ctx.login(),它不是 http模块原生的方法,也不是koa中的方法,而是passport加上的,passport扩展了http request添加了四种方法。

login(user, options, callback):作用是为登录用户初始化 session。options可设置 session为 false,即不初始化 session,默认为true。
logout():不带参数。作用是登出用户,删除该用户 session。
isAuthenticated():不带参数。作用是测试该用户是否存在于 session 中(即是否已登录)。若存在返回true。事实上这个比登录验证要有用的多,毕竟 session 通常会保留一段时间,在此期间判断用户是否已登录用这个方法就行了。
isUnauthenticated():不带参数。和上面的作用相反。

登出

login() 相反,logout() 方法用来结束登录会话。 调用 logout() 方法会删除 ctx.user 属性并清除登录会话

// 将user从session删除
router.get('/exit', async (ctx, next) => {
  await ctx.logout()
  if (!ctx.isAuthenticated()) {
    ctx.body = {
      code: 0
    }
  } else {
    ctx.body = {
      code: -1
    }
  }
})

登出成功后 redis 中的信息

在这里插入图片描述

路由守护中间件

比如获取用户信息的路由需要用户认证才能访问

router.get('/getUser', ctx => {
  if (ctx.isAuthenticated()) {
    const { username} = ctx.session.passport.user
    ctx.body = {
      user: username
    }
  } else {
    ctx.body = {
      user: ''
    }
  }
})

上面我们只是讲到了local验证,实际上passport支持的验证方法不止这几种,具体支持的验证方案可以参见passport 官网

koa-session,koa-passportpassport-local做本地登录验证
眉目成书
03-26 1630
最近在做毕设,以前没有做过登录验证这种,总觉得很简单,就是数据库里验证用户名密码,真正做起来,查阅资料的时候发现并不是那么简单,本篇也是按照网上资料的步骤来的,所以记录下步骤 install koa-session、kos-passport ...
userauth:koa用户身份验证中间件
02-03
koa-userauth koa用户身份验证抽象层中间件。 安装 $ npm install koa-userauth 用法 koa-userauth依赖于或 。 var koa = require ( 'koa' ) ; var userauth = require ( 'koa-userauth' ) ; var session = require ( 'koa-generic-session' ) ; var app = new koa ( ) ; app . keys = [ 'i m secret' ] ; app . use ( session ( ) ) ; app . use ( userauth ( { match : '/user' , // auth system login url loginURLFormatter : function ( url ) { return 'http://login.demo.com/login?redirect=' + url ; } , // login callback and getUse
Koa2 权限认证中间件-----Passport
a1035434631的博客
12-08 7107
你还在为koa2权限管理问题烦恼吗?那么这篇文章你解决的忧愁!!! 对于express框架的权限框架passport大家可能不陌生,但是koa2权限管理中间件缺很少,尤其是最2.0版本以上Koa,其生态目前完全出于一个起步阶段,对比目前express大量稳定可用的中间件,的确是有许多的不足。但是开源的力量永远是最强大的,只要有需求,就一定有解决方案,这时就诞生了koa-passport
基于koa2权限认证思路
m173net的博客
07-08 882
转载文章http://mssn.midea.com/ask/?/article/189 基于jwt的一种权限验证思路 整体思路 登录后用jwt将带有level等级的用户信息生成token返回给前端 前端拿到token存进sessionstorage或者localstorage中,以后每次请求都将token以请求头authorization的形式传出去 服务端配置好API接口的访问权限,如level的等级,是否登录才能访问,并写好对应的控制器,再写一个过滤中间件 每一...
[记录四]Vue+node+koa2+mysql+nginx+redis,全栈开发小程序和管理员管理系统项目——token控制接口权限
Smell_rookie的博客
09-21 2817
上节我们已了解后端是如何将数据加密成token以及如何解密回用户数据的,但是并没有做到用户没有登录就不可以请求某个接口(需要用户信息的api),这样不控制的话就直接请求那就会报错了,当然为了安全是肯定要对大部分接口进行登录后才能调用的控制的。这里我采用中间件去控制。 在utils文件夹下新建一个whiteList.js文件 这里就写免登录的接口路由,这些是客户端不传登录态token也是可以调用成功了,后面需要不登录就能调用接口就直接在这个数组后面加多个接口的路由。 在app.js中编写一个中间件,根据上面
koa权限控制
m0_61417250的博客
12-14 975
帮助读者更好的理解koa的每个角色的权限控制
koa2服务端使用jwt进行鉴权及路由权限分发
weixin_30740581的博客
07-22 527
大体思路   后端书写REST api时,有一些api是非常敏感的,比如获取用户个人信息,查看所有用户列表,修改密码等。如果不对这些api进行保护,那么别人就可以很容易地获取并调用这些 api 进行操作。   所以对于一些api,在调用之前,我们在服务端必须先对操作者进行“身份认证”,这就是所谓的鉴权。   Json Web Token 简称为 JWT,它定义了一种通信双方之间以 JSON ...
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
10-16
主要介绍了koa2服务端使用jwt进行鉴权及路由权限分发 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Koa学习4:密码加密、验证登录、颁发token、用户认证
weixin_41897680的博客
10-03 1891
Koa学习4:密码加密、验证登录、颁发token、用户认证
vue路由权限(结合服务端koa2
Stephy_Yy
05-03 263
gitee地址 一、项目初始化 vue create manager-admin // 创建vue项目 // 管理员权限安装 cnpm i -S koa@2 // 下载koa2依赖 cnpm install --global koa-generator // 下载框架 koa-generator koa2 manager-server // 创建项目 cd manager-server // 进入项目 npm install // 安装依赖 npm start // 启动项目 cnpm i koa2-
登陆验证koa-passport中间件的简单使用
qq_43817972的博客
02-13 605
简述 koa-passportkoa的一个中间件,它实际上只是对passport的一个封装。利用koa-passport可以简便的实现登录注册功能,不但包括本地验证,还有很多提供第三方登录的模块可以使用。这篇博客只讲一下登陆验证这块的一些简单内容 配置 安装依赖 npm install -S koa-passport npm install -S passport-local 引包 imp...
Node.js中Passport与Express的集成示例:用户认证入门
weixin_42146230的博客
09-03 921
本文还有配套的精品资源,点击获取 简介:本文介绍了一个名为"passport-demo"的示例项目,它展示了如何在使用Express框架的Node.js应用程序中集成Passport进行用户认证Passport是一个灵活的身份验证中间件,支持多种认证策略,如本地认证和OAuth。Express是一个强大的Web应用框架,提供了路由和中间件系统。文章详细说明了Passpor...
Nodejs利用passport验证用户登录
莉亚小屋
10-29 2403
passport验证用户登录 最近学习用nodejs+express+session实现用户登录,绕不开使用passport,系统记录一下学习和实践过程 Passport简介 passport.js是Nodejs中的一个做登录验证的中间件,极其灵活和模块化,并且可与Express、Sails等Web框架无缝集成。passport模块本身不能做认证,所有的认证方法都以策略模式封装为插件,需要某种认证时将其添加到package.json即可。 Passport策略 passport功能单一,只做authen
Passport & Passport-jwt 实现安全验证
最新发布
每天都要努力学习哦~~
10-05 2042
如果内部选项不足够处理认证请求,自定义回调能够让应用处理成功和失败的情况。});这个例子中,注意是在路由处理器中被调用,而不是作为路由中间件。这通过闭包给了req和res对象回调权限。如果认证失败,user将被设置为false。如果发生异常,err将被设置。一个可选的info参数将传入,包括策略验证回调所提供的附加的详细信息。这个回调能够使用提供的参数处理预期的认证结果。
Nodejs Passport 系列之三:Passport 源码剖析之认证流程
过客2019
12-08 930
前言 本文是笔者所总结的有关Nodejs Passport 系列之一;本文将从源码分析的角度,来深入剖析 passport认证流程;备注,此部分流程依赖于Nodejs Passport 系列之二:Passport 源码剖析之类图及初始化流程剖析作为前置条件; 本文为作者原创作品,转载请注明出处; Demo 此部分将继续使用Nodejs Passport 系列之二:Passport 源码剖析之类图及初始化流程剖析中的 LocalStrategy 的 demo 来深入分析如何使用 passpo...
了解护照序列化反序列化
w36680130的博客
07-21 307
How would you explain the workflow of Passport's serialize and deserialize methods to a layman. 您如何
Node.js 模块之【passport】进行本地【用户名+密码】鉴权(一)
zhagener
03-14 7767
安装 passportnpm i passport npm i passport-local添加模块(上面几个为依赖模块)var cookieParser = require('cookie-parser'); var bodyParser = require('body-parser'); var session = require('express-session'); var MongoSto
Koa-Angular-Starter教程:结合护照认证打造Koa+Angular2应用
资源摘要信息:"Koa-Angular-Starter是一个入门级的项目模板,它结合了Koa.js框架和Angular2前端框架,并使用Passport.js进行用户认证。该项目适用于希望快速搭建一个具备用户认证功能的现代Web应用的开发者。本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值