[转]passport.js学习笔记
概述
passport.js是Nodejs中的一个做登录验证的中间件,极其灵活和模块化,并且可与Express、Sails等Web框架无缝集成。Passport功能单一,即只能做登录验证,但非常强大,支持本地账号验证和第三方账号登录验证(OAuth和OpenID等),支持大多数Web网站和服务。
- 官网: http://passportjs.org/
- Github: http://github.com/jaredhanson/passport
- NPM: https://www.npmjs.org/package/passport
策略(Strategy)
策略是passport中最重要的概念。passport模块本身不能做认证,所有的认证方法都以策略模式封装为插件,需要某种认证时将其添加到package.json即可。
策略模式是一种设计模式,它将算法和对象分离开来,通过加载不同的算法来实现不同的行为,适用于相关类的成员相同但行为不同的场景,比如在passport中,认证所需的字段都是用户名、邮箱、密码等,但认证方法是不同的。关于策略模式,本文不详细展开,想了解的推荐阅读Javascript中的策略模式,或者更广泛意义上的策略模式。
依据策略模式,passport支持了众多的验证方案,包括Basic、Digest、OAuth(1.0,和2.0的三种实现)、Bearer等。
passport和everyauth
Nodejs中做登录验证的有不少,我听说过的有connect-auth、everyauth、passport,以及Mongoose的插件mongoose-auth。
其中passport和everyauth用的比较多。
everyauth也是基于策略模式,但支持的第三方网站和服务比passport要少些。另外everyauth还涉及到view/route和database,耦合程度比passport高,而passport则更专注。
值得一提的是,passport的作者声称正因为他看到everyauth不能满足他的一些需求所以创建了passport,不过貌似现在everyauth改进了其中的部分缺陷;everyauth的作者则声称它的建立是基于connect-auth的不足上的。
另外这里有讲到选择适合的Node.js授权认证策略,也讲到了两者的一些不同。
依赖和安装
环境依赖
首先你需要Nodejs,然后数据库用来存储用户数据;另外passport作为中间件,需要依赖Express和Connect,还有由于Express 3.x将一些中间件分离出去,因此你还需要先安装它们。其中express-flash是用于显示提示信息的中间件,是可选的,如果需要用到passport中的提示,则需要安装。
具体的依赖有:
- Express:web框架。或其他支持的框架。
- Connect:中间件框架。
- cookie-parser:Connect的cookie解析中间件。
- express-session:Connect的session解析中间件,依赖于cookie-parser。
- express-flash:express的消息提示中间件,可选,但一般情况下都需要装。
安装和配置
你最少需要安装一个passport策略来使用它,一般而言本地验证策略passport-local是必装的。
npm install passport
npm install passport-local
安装完成后需要配置中间件,一般的顺序如下:
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var flash = require('express-flash');
var passport = require('passport');
...
app.use(cookieParser());
app.use(session({...}));
app.use(passport.initialize());
app.use(passport.session());
app.use(flash())
其中重要的是app.use()部分,express中的中间件顺序很重要,注意不要弄错,除非你知道不同中间件间的准确依赖关系。
基本用法
passport用的比较多的有local本地验证和OAuth验证,这里讲一下两者的使用。
你也可以看看张丹写的这两篇,Express结合Passport实现登陆认证和Passport实现社交网络OAuth登陆,里面的示例覆盖了基本的用法,本文也参考了其中的一些例子。
local本地验证
本地验证默认使用用户名和密码来进行验证。
配置策略
在做验证之前,首先需要对策略进行配置,官方的示例如下:
var passport = require('passport')
, LocalStrategy = require('passport-local').Strategy;
passport.use(new LocalStrategy(
function(username, password, done) {
User.findOne({ username: username }, function(err, user) {
if (err) { return done(err); }
if (!user) {
return done(null, false, { message: '用户名不存在.' });
}
if (!user.validPassword(password)) {
return done(null, false, { message: '密码不匹配.' });
}
return done(null, user);
});
}
));
其中的User.findOne()
是MongoDB风格的语法,意思是从数据库的User集合中查询一条数据,第一个参数是查询条件,后面是callback,一般在callback中进行后续操作。
这里的逻辑很简单,依次检查username
、password
,如果出错则返回错误信息,如果通过则返回done(null,user)
。
usernameField
前面说过passport默认使用用户名和密码来验证,但实际上也有很多需要用邮箱来验证的,那么如何实现呢?
passport在策略配置里提供了options参数,用来设置你要验证的字段名称,即usernameField,使用方法如下:
passport.use(new LocalStrategy({
usernameField: 'email',
passwordField: 'passwd'
},
function(username, password, done) {
// ...
}
));
注意,这里的字段名称应该是页面表单提交的名称,即req.body.xxx,而不是user数据库中的字段名称。
将options作为LocalStrategy第一个参数传入即可。
验证回调
passport本身不处理验证,验证方法在策略配置的回调函数里由用户自行设置,它又称为验证回调。验证回调需要返回验证结果,这是由done()来完成的。
在passport.use()里面,done()有三种用法:
- 当发生系统级异常时,返回done(err),这里是数据库查询出错,一般用next(err),但这里用done(err),两者的效果相同,都是返回error信息;
- 当验证不通过时,返回done(null, false, message),这里的message是可选的,可通过express-flash调用;
- 当验证通过时,返回done(null, user)。
密码验证
在张丹的教程里密码是明文存储的,在实际中这当然不行,上面的代码里是user.validPassword(password)方法,这并不是passport添加的,而是需要用户自定义。
一般对密码进行哈希和盐化的Nodejs模块是bcrypt,它提供一个compare方法来验证密码,如何使用它则超出本文的范围,这里就不讲了。
session序列化与反序列化
验证用户提交的凭证是否正确,是与session中储存的对象进行对比,所以涉及到从session中存取数据,需要做session对象序列化与反序列化。调用代码如下:
passport.serializeUser(function(user, done) {
done(null, user.id);
});
passport.deserializeUser(function(id, done) {
User.findById(id, function(err, user) {
done(err, user);
});
});
这里第一段代码是将环境中的user.id序列化到session中,即sessionID,同时它将作为凭证存储在用户cookie中。
第二段代码是从session反序列化,参数为用户提交的sessionID,若存在则从数据库中查询user并存储与req.user中。
这段代码的顺序可以放在passport.use()的前面或后面,但需要在app.configure()之前。
Authenticate验证
做完了上面这些设置,我们终于可以开始做验证了。
app.post('/login',
passport.authenticate('local',
{ successRedirect: '/',
failureRedirect: '/login',
failureFlash: true }),
function(req, res) {
// 验证成功则调用此回调函数
res.redirect('/users/' + req.user.username);
});
这里的passport.authenticate(‘local’)就是中间件,若通过就进入后面的回调函数,并且给res加上res.user,若不通过则默认返回401错误。
authenticate()方法有3个参数,第一是name,即验证策略的名称,第二个是options,包括下列属性:
- session:Boolean。设置是否需要session,默认为true
- successRedirect:String。设置当验证成功时的跳转链接
- failureRedirect:String。设置当验证失败时的跳转链接
- failureFlash:Boolean or String。设置为Boolean时,express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。
- successFlash:Boolean or String。使用方法同上。
第三个参数是callback。注意如果使用了callback,那么验证之后建立session和发出响应都应该由这个callback来做,passport中间件之后不应该再有其他中间件或callback。以下是代码:
app.get('/login', function(req, res, next) {
passport.authenticate('local', function(err, user, info) {
if (err) { return next(err); }
if (!user) { return res.redirect('/login'); }
req.logIn(user, function(err) {
if (err) { return next(err); }
return res.redirect('/users/' + user.username);
});
})(req, res, next);
});
HTTP request操作
注意上面的代码里有个req.logIn(),它不是http模块原生的方法,也不是express中的方法,而是passport加上的,passport扩展了HTTP request,添加了四种方法。
- logIn(user, options, callback):用login()也可以。作用是为登录用户初始化session。options可设置session为false,即不初始化session,默认为true。
- logOut():别名为logout()。作用是登出用户,删除该用户session。不带参数。
- isAuthenticated():不带参数。作用是测试该用户是否存在于session中(即是否已登录)。若存在返回true。事实上这个比登录验证要用的更多,毕竟session通常会保留一段时间,在此期间判断用户是否已登录用这个方法就行了。
- isUnauthenticated():不带参数。和上面的作用相反。
完整示例
基本上passport本地验证的知识点就是这些,下面给出一个相对完整的示例,包括bcrypt的实现,这里借用了nodeclub中的方法,为实现它你需要自己配置hash:
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var passport = require('passport');
var LocalStrategy = require('passport-local').Strategy;
//User模型需自己实现
var User = require('../models/User');
var bcrypt = require('bcrypt');
passport.serializeUser(function(user, done) {
done(null, user.id);
});
passport.deserializeUser(function(id, done) {
User.findById(id, function(err, user) {
done(err, user);
});
});
//这里的username可以改成前端表单对应的命名,如:
// <form><input type="text" name="hehe">...</form>
//则这里将所有的username改为hehe
passport.use(new LocalStrategy({ usernameField: 'username' }, function(username, password, done) {
//实现用户名或邮箱登录
//这里判断提交上的username是否含有@,来决定查询的字段是哪一个
var criteria = (username.indexOf('@') === -1) ? {username: username} : {email: username};
User.findOne(criteria, function(err, user) {
if (!user) return done(null, false, { message: '用户名或邮箱 ' +