passport.js RESTful auth

时间:2013-01-28 22:41:24

标签: node.js rest authentication restify passport.js

如何使用passport.js通过RESTful API而不是通过Web界面处理身份验证(例如本地和Facebook)?

特别关注的是处理从回调到RESTful响应(JSON)的数据传递与使用典型的res.send({data:req.data}),设置重定向到Facebook的初始/登录端点(/无法通过AJAX访问登录,因为它不是JSON响应 - 它是通过回调重定向到Facebook。

我找到https://github.com/halrobertson/test-restify-passport-facebook,但我无法理解它。

此外,passport.js如何存储身份验证凭据?服务器(或者它是服务?)由MongoDB支持,我希望凭证(登录和pw的盐水哈希)存储在那里,但我不知道passport.js是否具有这种类型的功能。

3 个答案:

答案 0 :(得分:309)

这里提出了许多问题,似乎即使问题是在Node和passport.js的背景下提出的,真正的问题更多地是关于工作流而不是如何使用特定技术来实现这一点。

让我们使用@Keith示例设置,修改一下以增加安全性:

  • https://example.com的网络服务器提供单页Javascript客户端应用
  • https://example.com/api上的RESTful Web服务为富客户端应用提供服务器支持
  • 在Node和passport.js中实现的服务器。
  • 服务器有一个数据库(任何类型),带有"用户"表
  • 用户名/密码和Facebook Connect作为身份验证选项提供
  • 富客户端将REST请求转换为https://example.com/api
  • 可能有其他客户(例如,手机应用)使用https://example.com/api处的网络服务,但不知道https://example.com处的网络服务器。

请注意,我使用的是安全HTTP。在我看来,这是开放时可用的任何服务必须的,因为密码和授权令牌之类的敏感信息正在客户端和服务器之间传递。

用户名/密码验证

让我们先看看普通旧身份验证的工作原理。

  • 用户连接到https://example.com
  • 服务器提供丰富的Javascript应用程序,用于呈现初始页面。在页面中有一个登录表单。
  • 由于用户未登录,此单页应用程序的许多部分都没有填充数据。所有这些部分都在"登录"上有一个事件监听器。事件。所有这些都是客户端的东西,服务器不知道这些事件。
  • 用户输入他/她的登录名和密码并点击提交按钮,该按钮会触发Javascript处理程序以在客户端变量中记录用户名和密码。然后这个处理程序触发" login"事件。同样,这是所有客户端操作,凭据尚未发送到服务器
  • "登录"的听众调用事件。其中每个都需要在https://example.com/api向RESTful API发送一个或多个请求,以获取要在页面上呈现的用户特定数据。他们发送给Web服务的每个请求都将包含用户名和密码,可能采用HTTP Basic身份验证的形式,因为RESTful服务不允许将客户端状态从一个请求维护到下一个请求。由于Web服务使用安全HTTP,因此密码在传输过程中会被安全加密。
  • https://example.com/api处的网络服务收到大量个别请求,每个请求都包含身份验证信息。根据用户数据库检查每个请求中的用户名和密码,如果发现正确,则执行所请求的功能,并以JSON格式将数据返回给客户端。如果用户名和密码不匹配,则会以401 HTTP错误代码的形式向客户端发送错误。
  • 不是强制客户端为每个请求发送用户名和密码,而是可以拥有" get_access_token"在您的RESTful服务中使用用户名和密码并使用令牌进行响应,该令牌是某种加密哈希,它是唯一的并且具有与之关联的一些过期日期。这些令牌与每个用户一起存储在数据库中。然后客户端在后续请求中发送访问令牌。然后,将根据数据库而不是用户名和密码验证访问令牌。
  • 非浏览器客户端应用程序(如手机应用程序)执行与上述相同的操作,他们要求用户输入他/她的凭据,然后将每个请求发送给Web服务(>或从其生成的访问令牌)。

此示例的重要一点是, RESTful Web服务需要对每个请求进行身份验证

除了用户身份验证之外,此方案中的附加安全层还将添加客户端应用程序授权。例如,如果您拥有使用Web服务的Web客户端,iOS和Android应用程序,您可能希望服务器知道给定请求的三个客户端中的哪一个,而不管经过身份验证的用户是谁。这可以使您的Web服务将某些功能限制为特定客户端。为此,您可以使用API​​密钥和秘密,请参阅this answer以获取有关的一些想法。

Facebook身份验证

上述工作流程不适用于Facebook连接,因为通过Facebook登录有第三方Facebook本身。登录程序要求用户被重定向到Facebook的网站,其中的凭据是在我们控制范围之外输入的。

让我们看看情况如何变化:。

  • 用户连接到https://example.com
  • 服务器提供丰富的Javascript应用程序,用于呈现初始页面。在页面中有一个登录表单,其中包含一个"登录Facebook"按钮。
  • 用户点击"使用Facebook登录"按钮,它只是一个重定向到(例如)https://example.com/auth/facebook的链接。
  • https://example.com/auth/facebook路由由passport.js处理(请参阅documentation
  • 所有用户看到的是页面更改,现在他们在Facebook托管页面中,他们需要登录并授权我们的Web应用程序。这完全超出了我们的控制范围。
  • 用户登录Facebook并授予我们的应用程序权限,因此Facebook现在重定向回我们在passport.js设置中配置的回调网址,该网址遵循documentation中的示例{{1 }}
  • https://example.com/auth/facebook/callback路由的passport.js处理程序将调用回调函数,该函数接收来自Facebook的Facebook访问令牌和一些用户信息,包括用户的电子邮件地址。
  • 通过电子邮件,我们可以在我们的数据库中找到用户并使用它存储Facebook访问令牌。
  • 你在Facebook回调中做的最后一件事是重定向回富客户端应用程序,但这次我们需要将用户名和访问令牌传递给客户端,以便它可以使用它们。这可以通过多种方式完成。例如,可以通过服务器端模板引擎将Javascript变量添加到页面中,否则可以使用此信息返回cookie。 (感谢@RyanKimber指出在URL中传递此数据的安全问题,正如我最初建议的那样。)
  • 现在我们再次启动单页应用,但客户端有用户名和访问令牌。
  • 客户端应用程序可以触发"登录"立即事件,让应用程序的不同部分从Web服务请求所需的信息。
  • 发送给https://example.com/auth/facebook/callback的所有请求都将包括用于身份验证的Facebook访问令牌,或者通过" get_access_token"来自Facebook的令牌生成的应用程序自己的访问令牌。 REST API中的函数。
  • 非浏览器应用程序在这里有点困难,因为OAuth需要Web浏览器才能登录。要从手机或桌面应用程序登录,您需要启动浏览器才能重定向到Facebook,甚至更糟糕的是,您需要一种方法让浏览器通过某种机制将Facebook访问令牌传递回应用程序。

我希望这能回答大部分问题。当然,您可以使用Twitter,Google或任何其他基于OAuth的身份验证服务替换Facebook。

我有兴趣知道某人是否有更简单的方法来解决这个问题。

答案 1 :(得分:11)

我非常感谢@ Miguel对每个案例的完整流程的解释,但我想在Facebook身份验证部分添加一些。

Facebook提供Javascript SDK,您可以使用它直接在客户端获取访问令牌,然后将其传递到服务器并用于进一步从Facebook获取所有用户信息。所以你基本上不需要任何重定向。

此外,您还可以为移动应用程序使用相同的API端点。只需使用Facebook的Android / iOS SDK,在客户端获取Facebook access_token并将其传递给服务器。

关于无状态特性,如上所述,当get_access_token用于生成令牌并传递给客户端时,此令牌也存储在服务器上。所以它和会话令牌一样好,我相信这会使它成为有状态的吗?

只需2美分..

答案 2 :(得分:3)

以下是我发现的一篇很棒的文章,可以帮助您进行身份验证:

  • 微博
  • 谷歌
  • Local Auth

Easy Node Authentication: Setup and Local

相关问题
最新问题