koa-passport学习笔记

最新推荐文章于 2024-05-25 09:37:53 发布
最新推荐文章于 2024-05-25 09:37:53 发布
阅读量181 收藏
点赞数
文章标签: json 数据库
原文链接:https://segmentfault.com/a/1190000013060327
版权

koa-passport是koa的一个中间件,它实际上只是对passport的一个封装。利用koa-passport可以简便的实现登录注册功能,不但包括本地验证,还有很多提供第三方登录的模块可以使用。

基本流程

passport的主要功能就是能够提供一个用户鉴权的框架,并把鉴权得到的用户身份供后续的业务逻辑来使用。而鉴权的具体过程是通过插件来实现,用户可以自己来实现,也可以使用已有的第三方模块实现各种方式的鉴权(包括OAuth或者OpenID)。

passport的代码还是有点复杂的,我们先看一个最简单的例子,然后逐步介绍后面的细节。

最小样例

下面是一个使用koa-passport的可以执行的最小样例

const Koa = require('koa')
const app = new Koa()

// 定义一个验证用户的策略,需要定义name作为标识
const naiveStrategy = {
  name: 'naive',
  // 策略的主体就是authenticate(req)函数,在成功的时候返回用户身份,失败的时候返回错误
  authenticate: function (req) {
    let uid = req.query.uid
    if (uid) {
      // 策略很简单,就是从参数里获取uid,然后组装成一个user
      let user = {id: parseInt(uid), name: 'user' + uid}
      this.success(user)
    } else {
      // 如果找不到uid参数,认为鉴权失败
      this.fail(401)
    }
  }
}

// 调用use()来为passport新增一个可用的策略
const passport = require('koa-passport')
passport.use(naiveStrategy)
// 添加一个koa的中间件,使用naive策略来鉴权。这里暂不使用session
app.use(passport.authenticate('naive', {session: false}))

// 业务代码
const Router = require('koa-router')
const router = new Router()
router.get('/', async (ctx) => {
  if (ctx.isAuthenticated()) {
    // ctx.state.user就是鉴权后得到的用户身份
    ctx.body = 'hello ' + JSON.stringify(ctx.state.user)
  } else {
    ctx.throw(401)
  }
})
app.use(router.routes())

// server
const http = require('http')
http.createServer(app.callback()).listen(3000)

这段代码虽然没有实际意义,但是已经展示完整的鉴权流程和错误处理,运行结果如下

$ curl http://localhost:3000/\?uid\=128
hello {"id":128,"name":"user128"}%
$ curl http://localhost:3000
Unauthorized%

可以看到这里鉴权的作用基本就是两个

  1. 鉴权失败可以拒绝用户访问(也可以不做处理)
  2. 鉴权成功会把用户记录到context

主流程

明白了上面的例子之后,我们就可以照着代码来看一下passport的主流程,定义在passport/authenticator.js文件中。

首先看看上面使用的passport.use()函数,其内容非常简单,就是把一个策略保存在本地,后续可以通过name来访问

Authenticator.prototype.use = function(name, strategy) {
  if (!strategy) {
    strategy = name;
    name = strategy.name;
  }
  if (!name) { throw new Error('Authentication strategies must have a name'); }
  
  this._strategies[name] = strategy;
  return this;
};

上面样例中使用的中间件passport/authenticate(),实际定义在passport/middleware/authenticate.js中,其返回值是一个函数,具体的实现如下,删减了部分代码,加了一下注释

module.exports = function authenticate(passport, name, options, callback) {
  // FK: 允许传入一个策略的数组
  if (!Array.isArray(name)) {
    name = [ name ];
    multi = false;
  }
  
  return function authenticate(req, res, next) {
    // FK: 省略部分代码...
    function allFailed() {
       // FK: 所有策略都失败后,如果设置了回调就调用,否则找到第一个failure,根据option进行flash/redirect/401
    }
    
    // FK: 这部分是主要逻辑
    (function attempt(i) {
      // FK: 尝试第i个策略
      var layer = name[i];
      if (!layer) { return allFailed(); }
    
      var prototype = passport._strategy(layer);  
      var strategy = Object.create(prototype);
   
      strategy.success = function(user, info) {
        // FK: 省略部分代码,用于记录flash/message

        // FK: 鉴权成功后会调用logIn(),把用户写入当前ctx
        req.logIn(user, options, function(err) {
          if (err) { return next(err); }          
          // FK: 成功跳转,代码比较复杂,省略了
      };
      
      strategy.fail = function(challenge, status) {
        // FK: 记录错误,使用下一个策略进行尝试,省略部分代码
        attempt(i + 1);
      };
      
      strategy.redirect = function(url, status) {
        // FK: 处理跳转
        res.statusCode = status || 302;
        res.setHeader('Location', url);
        res.setHeader('Content-Length', '0');
        res.end();
      };
      
      strategy.authenticate(req, options);
    })(0); // attempt
  };

这部分代码就是passport的核心流程,其实就是定义好一些鉴权成功/失败/跳转等处理机制,然后就调用具体的策略进行鉴权。需要注意的是,虽然外面上面的样例中只传入了一个策略,但是其实passport支持同时使用多个策略,它会从头开始尝试各个策略,直到有一个策略做出处理或者已尝试所有策略为止。

小结

通过上面的样例和主流程的分析,大家应该能清楚passport大概做的事情是什么,也能够知道最基础的使用方式。

session

在上面的例子中,我们没有使用session,因此每个请求都需要带上uid参数。实际使用中,一般会把鉴权后的用户身份会保存在cookie中供后续请求来使用。虽然passport并没有要求一定使用session,但其实是默认会使用session。

在上面的样例中,为了支持session,我们需要添加一些代码。

首先,我们需要在app中开启session支持,即使用koa-session

const session = require('koa-session')
app.keys = ['some secret']
const conf = {
  encode: json => JSON.stringify(json),
  decode: str => JSON.parse(str)
}
app.use(session(conf, app))

然后,因为我们的用户信息需要保留在session存储中(利用cookie或者服务端存储),因此需要定义序列化和反序列的操作。下面的例子是一个示例。真实场景中,反序列化的时候肯定需要根据uid来检索真正的用户信息。

passport.serializeUser(function (user, done) {
  // 序列化的结果只是一个id
  done(NO_ERROR, user.id)
})

passport.deserializeUser(async function (str, done) {
  // 根据id恢复用户
  done(NO_ERROR, {id: parseInt(str), name: 'user' + str})
})

再然后,因为我们不需要naiveStrategy作为默认策略了,因此要把相应的use()语句去掉,转而只在用户明确要登录的时候才调用

router.get('/login',
  passport.authenticate('naive', { successRedirect: '/' })
)

最后,我们需要在app中开启koa-passport对session的支持

app.use(passport.initialize())
app.use(passport.session())

initialzie()函数的作用是只是简单为当前context添加passport字段,便于后面的使用。而
passport.session()则是passport自带的策略,用于从session中提取用户信息,其代码位于passport/strategies/session.js,内容如下

SessionStrategy.prototype.authenticate = function(req, options) {
  // FK: 确保已经初始化
  if (!req._passport) { return this.error(new Error('passport.initialize() middleware not in use')); }
  options = options || {};

  // FK: 从session中获取序列化后的user
  var self = this, su;
  if (req._passport.session) {
    su = req._passport.session.user;
  }

  if (su || su === 0) {
    // FK: 如果用户字段存在,调用自定义的反序列化函数来获取用户信息
    this._deserializeUser(su, req, function(err, user) {
      if (err) { return self.error(err); }
      if (!user) {
        delete req._passport.session.user;
      } else {
        var property = req._passport.instance._userProperty || 'user';
        req[property] = user;
      }
      self.pass();
      // FK: 省略
    });
  } else {
    // FK: 如果在session中找不到用户字段,直接略过
    self.pass();
  }
};

和我们上面自定义的naive策略类似,session策略的作用也即生成用户信息,只不过数据来源不是请求字段,而是session信息。

Session Manager

在上面的主流程里,我们看到当鉴权成功时,会调用req.logIn()函数,其实还有logOut()和isAuthenticated(),都定义在passport/http/request.js。

其中logIn()和logOut()操作真正调用的是
SessionManager中的操作,其定义在passport/sessionmanager.js,主要流程如下:

function SessionManager(options, serializeUser) {
  // FK: ... 省略
  this._key = options.key || 'passport';
  this._serializeUser = serializeUser;
}

SessionManager.prototype.logIn = function(req, user, cb) {
  this._serializeUser(user, req, function(err, obj) {
    if (err) {
      return cb(err);
    }
    // FK: ... 省略
    req._passport.session.user = obj;
    // FK: ... 省略
    req.session[self._key] = req._passport.session;
    cb();
  });
}

SessionManager.prototype.logOut = function(req, cb) {
  if (req._passport && req._passport.session) {
    delete req._passport.session.user;
  }
  cb && cb();
}

module.exports = SessionManager;

Session Manager里定义了login和logout两个操作

  • logIn()操作,会调用一个_serializeUser(), 然后把序列化的结果存到req.session['passport']。此时session的内容类似 {"passport":{"user":128},"_expire":1517357892908,"_maxAge":86400000}
  • logOut()操作更加简单,就是直接删除session里passport里的user字段。

此外,request还定义了isAuthenticated()函数,用于检查当前是否已经鉴权成功,代码如下

req.isAuthenticated = function() {
  var property = 'user';
  if (this._passport && this._passport.instance) {
    property = this._passport.instance._userProperty || 'user';
  }
  
  return (this[property]) ? true : false;
};

小结

至此,我们基本已经看完了passport的主要工作。passport之所以强大,在于他定义好了框架,但并没有确定具体的鉴权策略,用户可以根据需求来加入各种自定义的策略,现在已经有大量的模块可以使用了。

passport-local

在上面的样例中,我们定义了自己的NaiveStrategy来实现对用户的鉴权,当然上面的代码毫无安全性可言。在真实环境中,最简单的鉴权一般是用户提交用户名和密码,然后服务端来校验密码,准确无误后才认为鉴权成功。

虽然这个过程可以通过扩展我们的NaiveStrategy来实现,不过我们已经有了passport-local这个库提供了一个本地鉴权的代码框架,可以直接使用。我们来看看其流程:

 // FK: passport-local 省略部分代码
function Strategy(options, verify) {
  // FK: 记录verify函数
  this._verify = verify;
  this._passReqToCallback = options.passReqToCallback;
}

Strategy.prototype.authenticate = function(req, options) {
  // 从req里找到username 和 pass
  options = options || {};
  var username = lookup(req.body, this._usernameField) || lookup(req.query, this._usernameField);
  var password = lookup(req.body, this._passwordField) || lookup(req.query, this._passwordField);
  
  if (!username || !password) {
    return this.fail({ message: options.badRequestMessage || 'Missing credentials' }, 400);
  }
  
  var self = this;
  
  function verified(err, user, info) {
    if (err) { return self.error(err); }
    if (!user) { return self.fail(info); }
    self.success(user, info);
  }
  
  // FK: 省略部分代码
  try {
    this._verify(username, password, verified);
  } catch (ex) {
    return self.error(ex);
  }
};

看代码其实流程也非常简单,就是自动从请求中获取usernamepassword两个字段,然后提交给用户自定义的verify函数进行鉴权,然后处理鉴权的结果。

可以看到,这个框架做的事情其实很有限,主要的校验操作还是需要用户自己来定义,一个简单用法样例如下:

const LocalStrategy = require('passport-local').Strategy
passport.use(new LocalStrategy(async function (username, password, done) {
  // FK: 根据username从数据库或者其他存储中拿到用户信息
  let user = await userStore.getUserByName(username)
  // FK: 把传入的password和数据库中存储的密码进行比较。当然这里不应该是明文,一般是加盐的hash值
  if (user && validate(password, user.hash)) {
    done(null, user)
  } else {
    log.info(`auth failed for`, username)
    done(null, false)
  }
}))

自此,我们看到用户只需要再定义一下用户的存储流程,基本上就可以实现一个简单的用户注册登录功能了。

后记

本文记录对koa-passport相关模块的代码学习过程,里边细节比较多,行文有些乱,还请见谅。如果大家只是想看使用方法,可以参考其他的文章,比如这篇

和之前看koa-session模块相比,passport模块没有使用async语法,就能明显感受到回调地狱的威力,代码一开始看的还是比较痛苦。总体感觉js还是过于灵活了,如果用来写业务,一定需要非常强健的工程规范才行。

文中两个样例的完整代码请参见 https://github.com/fankaigit/...

weixin_34067049
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
推荐开源项目:Koa-Passport - 强大的Koa身份验证中间件
gitblog_00035的博客
05-17 355
推荐开源项目:Koa-Passport - 强大的Koa身份验证中间件 项目地址:https://gitcode.com/rkusa/koa-passport 1、项目介绍 Koa-Passport 是一个基于流行的 Koa 框架的认证中间件,它无缝集成了 Passport 的强大功能。这个库的目标是为你的Koa应用程序提供简单的用户认证解决方案,让你可以专注于开发核心业务逻辑。 通过koa-pa...
Koa2 权限认证中间件-----Passport
a1035434631的博客
12-08 6944
你还在为koa2的权限管理问题烦恼吗?那么这篇文章你解决的忧愁!!! 对于express框架的权限框架passport大家可能不陌生,但是koa2的权限管理中间件缺很少,尤其是最2.0版本以上Koa,其生态目前完全出于一个起步阶段,对比目前express大量稳定可用的中间件,的确是有许多的不足。但是开源的力量永远是最强大的,只要有需求,就一定有解决方案,这时就诞生了koa-passport
推荐使用:Koa-Passport 示例项目
最新发布
gitblog_00067的博客
05-25 318
推荐使用:Koa-Passport 示例项目 项目地址:https://gitcode.com/rkusa/koa-passport-example Koa-Passport-Example 是一个精心构建的示例项目,它展示了如何将流行的 Koa 框架与 Passport 身份验证库相结合。Passport 在 Node.js 中广泛用于处理用户身份验证和授权,而 Koa 则是下一代轻量级 Web...
koa2使用koa-passport实现token的验证
qq_44472790的博客
11-06 698
koa项目中安装koa-passport yarn add koa-passport -D 在app.js入口文件引入和使用 // token验证 const passport = require('koa-passport'); // token验证 app.use(passport.initialize()); app.use(passport.session()); // 回调到指定config文件 passport.js中 require('./config/passport')(passp
koa-passport实现本地验证
陈坚泓的博客
03-22 461
koa-passport实现本地验证安装包代码解释 最近用nuxt.js实现了本地注册登录相关操作,其中用到了koa-passport包,在这里记录下,方便后面回顾 passport中间件专门用来做权限认证 passport目前有很多已经写好的登录策略,比如github登录,微信登录,Facebook登录,google等 passport官网 安装包 koa2中使用的是 koa-passport ...
Koa】什么是passport权限认证,它该如何配置呢?
Milk~每天分享一点点,技术进步一点点
10-17 1276
权限认证
koa-passport-saml-example:SAML的简单koa-passport使用示例
05-22
koa-passport-saml-example 这是将与一起使用的简单示例。 我这样做是因为未涵盖此用。 要使此工作正常进行,您需要更新文件中的entryPoint , issuer和pathToPublicCert变量。 然后就这样: npm install npm ...
前端开源库-koa-passport
08-30
1. **安装依赖**: 首先,你需要在项目中安装 Koa Passport 和所需的策略库,如 `koa-passport`、`passport-local` 或 `passport-facebook` 等。 2. **初始化 Passport**: 在 Koa 应用中初始化 Passport,并设置 ...
koa-passport实现本地验证的方法示例
12-20
`Koa-Passport`是基于Node.js的`Koa`框架和`Passport`库的一个中间件,用于实现身份验证和授权。`Passport`是一个灵活的身份验证 middleware,广泛应用于Express,但同样适用于Koa。`Koa-Passport`使得在Koa应用中...
harmonyos2-koa-passport-github-example:koa-passport-github-example
07-01
koa-passport-example 示例 koa-护照版本 koa 版本 分支 1.x 1.x 2.x 2.x 3.x 2.x 掌握 其他例子 笔记 如果您的节点版本大于或等于 8.4.0,则将 "start": "node --harmony-async-await server.js" 替换为 "start": ...
koa-auth:这是在 koa.js 上使用 mongoose 和 koa-passport 的授权过程
06-17
Koa-auth 简短的介绍 本项目是由新的nodejs框架koa.js和mongodb(mongoose模块)搭建的授权流程 入门 要开始使用,您可以简单地克隆 koa-auth 存储库并安装依赖项: 先决条件 您需要 git 来克隆 chat-with-auth-on-...
登陆验证koa-passport中间件的简单使用
qq_43817972的博客
02-13 488
简述 koa-passportkoa的一个中间件,它实际上只是对passport的一个封装。利用koa-passport可以简便的实现登录注册功能,不但包括本地验证,还有很多提供第三方登录的模块可以使用。这篇博客只讲一下登陆验证这块的一些简单内容 配置 安装依赖 npm install -S koa-passport npm install -S passport-local 引包 imp...
Node 认证中间件 Passport 学习笔记
刘泽美的博客
02-07 3221
1. 综述 GENERAL Simple, unobtrusive authentication for Node.js 1.综述 GENERAL 1.1. 概览 Overview 1.2. 认证 Authenticate 1.2.1. 重定向 Redirects 1.2.2. 快报 Flash Messages 1.2.3. 禁用会话 Disable Sessions 1.2.4. 自定...
koa-session,koa-passportpassport-local做本地登录验证
眉目成书
03-26 1525
最近在做毕设,以前没有做过登录验证这种,总觉得很简单,就是数据库里验证用户名密码,真正做起来,查阅资料的时候发现并不是那么简单,本篇也是按照网上资料的步骤来的,所以记录下步骤 install koa-session、kos-passport ...
koa使用koa-passport实现路由进入前登录验证
weixin_34015336的博客
05-25 317
现在的项目需求很简单,当进入一个页面的时候,如果没登录,则跳转到登录页面,如果登录了则直接到对应页面。 koa2写的项目,使用koa-passportkoa-session,根据koa-passport的 isAuthenticated()来判断是否登录。这篇文章写的很好:===》https://segmentfault.com/a/1190000011557953我的其中一个路由代码;co...
koa2 使用passport权限认证中间件
old brother stable
09-27 981
做后端系统避免不了要做权限认证,比如本地用户登录,第三方登录。 权限认证的思路也极其简单,不外乎就是登录,登出,路由守护三部分。 今天要讲的权限认证中间件那就是:passport passport 是 Node 的认证中间件,它的存在只有一个单一的目的,就是认证请求。 配置 passport 在认证过程中 passport 需要配置三个部分 注册策略 序列化 反序列化 这里把 passport...
Node.js 登录验证模块passport基本用法
qq_39807732的博客
08-17 7452
首先就是引包 const passport = require('koa-passport'); const LocalStrategy = require('passport-local').Strategy; 然后别忘了在你的app.js入口文件中写入: app.use(passport.initialize()); app.use(passport.session()); 然后设...
Nodejs利用passport验证用户登录
莉亚小屋
10-29 2142
passport验证用户登录 最近学习用nodejs+express+session实现用户登录,绕不开使用passport,系统记录一下学习和实践过程 Passport简介 passport.js是Nodejs中的一个做登录验证的中间件,极其灵活和模块化,并且可与Express、Sails等Web框架无缝集成。passport模块本身不能做认证,所有的认证方法都以策略模式封装为插件,需要某种认证时将其添加到package.json即可。 Passport策略 passport功能单一,只做authen
koa-body和koa-bodyparser的区别,对于koa-parameter的检验有影响吗
05-31
它们的主要区别在于koa-body支持文件上传,而koa-bodyparser不支持。koa-body可以将文件上传到指定的目录,并且支持对上传文件的大小、数量、类型等进行限制配置。而koa-bodyparser主要负责解析请求体中的普通表单...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值