use*_*690 6 javascript authentication node.js express passport.js
我正在尝试使用以下教程在我的简单Node.js应用程序中构建用户身份验证:http://code.tutsplus.com/tutorials/authenticating-nodejs-applications-with-passport--cms-21619
它在保护应用程序主页方面非常有用,因此只能在登录后访问它,但我很难将我的REST端点限制为仅登录用户.在使用邮递员时,我仍然可以在没有任何身份验证的情况下调用端点.
在我的路线中,我有以下内容:
var express = require('express');
var router = express.Router();
// if the user is authenticated
var isAuthenticated = function (req, res, next) {
if (req.isAuthenticated())
return next();
res.json("not authenticated");
}
/*
* GET carlist.
*/
router.get('/carlist', isAuthenticated, function(req, res) {
var db = req.db;
var collection = db.get('carlist');
collection.find({},{},function(e,docs){
res.json(docs);
});
});
这似乎不起作用,即使我实际输入正确的凭据我总是返回"未经过身份验证".我在这里错过了什么?
完整代码:https://gist.github.com/tudorific/d99bc51cfbd3d9d732a3bb1b93ed7214
在此先感谢您的帮助!
我想到了。由于我使用的是 LocalStrategy,IsAuthenticated 方法正在会话中查找凭据,而不是在我使用 Postman 发送的基本凭据中查找。所以我需要创建以下新的 BasicStrategy:
var passport = require('passport');
var BasicStrategy = require('passport-http').BasicStrategy;
var Employer = require('../models/employer');
var bCrypt = require('bcrypt-nodejs');
passport.use(new BasicStrategy(
function(username, password, done) {
Employer.findOne({ username: username }, function (err, user) {
if (err) { return done(err); }
if (!user) { return done(null, false); }
//if (!user.validPassword(password)) { return done(null, false); }
if (!isValidPassword(user, password)){ return done(null, false); }
return done(null, user);
});
var isValidPassword = function(employer, password){
return bCrypt.compareSync(password, employer.password);
}
}));
然后在我的路线中使用该策略,如下所示:
router.get('/carlist', passport.authenticate('basic', function(req, res) {
var db = req.db;
var collection = db.get('cars');
collection.find({},{},function(e,docs){
res.json(docs);
});
});
这将使用来自 Postman 的基本身份验证凭据来连接到该网站。
感谢 Neta Meta 在我的 OP 评论中的建议,我能够得出这个结果,并更多地阅读 Passport 文档以了解策略之间的差异。