如何在node.js中实现登录身份验证

Question

如何在node.js中实现登录身份验证

XMe*_*Men 74 authentication login node.js

我有这个节点服务器运行:

var server=http.createServer(function(request, responsehttp) {
    if (request.method == 'POST') {
        var body = '';
        request.on('data', function (data) {
            body += data;
        });
        request.on('end', function () {
            var POST = qs.parse(body);
            processquery(POST, request, responsehttp);
        });
    } else {
        var url_parts = url.parse(request.url, true);
        var query = url_parts.query;
        console.log(query);
        processquery(query, request, responsehttp);
    }
});

Run Code Online (Sandbox Code Playgroud)

我想为此服务器添加登录表单.所以当用户通过身份验证后会显示.

   function processquery(query, request, responsehttp){
    var returnResult = function (data){
        responsehttp.end(JSON.stringify(data));
    };

    if (!query.command) {
        fileprocess(request, responsehttp);
    }
    responsehttp.writeHead(200, {"Content-Type": "application/json"});
    switch(query.command) {
        case 'logout':
            logout(query, returnResult);
            break;
        case 'login':
            login(query, returnResult);
            break;
    }    
}

Run Code Online (Sandbox Code Playgroud)

在进程查询函数中,如果没有给出任何命令,则将文件返回给客户端,所以我可以从客户端向服务器发送login命令,但是当用户名密码接收登录命令时应该做什么服务器,应该如何处理登录请求并返回登录成功或失败,写这部分我需要帮助.

我试过的.

function login(request, callback) {
    if(request.username==users[request.username] && request.password==users[request.username].password) {
        users[request.username].auth=true;
        var data = {result:'success','message':'login successful'};
        callback(data);
    } else {
        var data = {result:'error','message':'login incorrect'};
        callback(data);
    }
}

Run Code Online (Sandbox Code Playgroud)

请建议我如何在此添加会话我尝试在登录功能中添加请求变量并尝试设置request.session变量,它表示request.session未定义.

请建议我如何编写这个可以为每个用户正确维护登录认证的登录模块.

Answer 1

ale*_*lex 240

以下是我使用Express.js的方法:

1)检查用户是否经过身份验证:我有一个名为CheckAuth的中间件函数,我在每个需要用户进行身份验证的路由上使用该函数:

function checkAuth(req, res, next) {
  if (!req.session.user_id) {
    res.send('You are not authorized to view this page');
  } else {
    next();
  }
}

Run Code Online (Sandbox Code Playgroud)

我在我的路线中使用此功能,如下所示:

app.get('/my_secret_page', checkAuth, function (req, res) {
  res.send('if you are viewing this page it means you are logged in');
});

Run Code Online (Sandbox Code Playgroud)

2)登录路线:

app.post('/login', function (req, res) {
  var post = req.body;
  if (post.user === 'john' && post.password === 'johnspassword') {
    req.session.user_id = johns_user_id_here;
    res.redirect('/my_secret_page');
  } else {
    res.send('Bad user/pass');
  }
});

Run Code Online (Sandbox Code Playgroud)

3)退出路线:

app.get('/logout', function (req, res) {
  delete req.session.user_id;
  res.redirect('/login');
});

Run Code Online (Sandbox Code Playgroud)

如果你想了解更多关于Express.js的信息,请点击这里查看他们的网站:expressjs.com/en/guide/routing.html 如果需要更复杂的东西,请查看everyauth(它有很多auth方法,适用于facebook,twitter等; 这里的好教程).

这是一个很好的基本解决方案.我在执行身份验证时要添加的一件事是明确告诉浏览器不要通过编辑响应头来缓存"受限"页面.在这种情况下,我会添加`res.header('Cache-Control','no-cache,private,no-store,must-revalidate,max-stale = 0,post-check = 0,pre-check = 0 ');`在`checkAuth`方法中调用`next()`之前. (39认同)
@BRogers你可以使用节点bcrypt进行密码散列:https://github.com/ncb000gt/node.bcrypt.js/ (4认同)
这可以防止用户访问受限页面,注销,然后使用后退按钮再次访问受限页面.更改缓存策略会强制页面重新呈现,并使`checkAuth`方法失败. (3认同)

Answer 2

Far*_*hat 6

实际上这不是问题的答案,但这是一个更好的方法.

我建议你使用connect/express作为http服务器,因为它们可以节省你很多时间.你显然不想重新发明轮子.在您的情况下,使用connect/express会话管理更容易.

除了身份验证之外,我建议你使用everyauth.其中支持很多身份验证策略.快速发展令人敬畏.

所有这一切都可以通过文档中的一些副本粘贴轻松下来!

归档时间：	14 年，3 月前
查看次数：	113681 次
最近记录：	7 年，6 月前