我正在尝试为基于电子的桌面应用程序创建NodeJS API系统。应用程序应允许使用用户名和密码进行基本登录,用户登录后,所有后续API调用都通过ID和密钥进行身份验证。我引用了this guide on using express-strompath description here。我无法像这样执行用户名/密码验证。
curl -L -H "Content-Type: application/json" -X POST -d '{"password":"Som3Pa55Word", "username":"user@domain.ai"}' http://ec2-54-88-168-7.compute-1.amazonaws.com:8000/api/v1.0/login
或通过javascript
function Login() {
...
var user = {
username: 'user@domain.ai',
password: 'Som3Pa55Word ',
}
var req = {
method: 'POST',
url: apiBaseUrl + '/login',
headers: {
'Content-Type': 'application/json'
},
data: user
}
return $http(req).then(handleSuccess, handleError);
}
但是,当我使用API密钥时,我可以登录。
curl -L -H "Content-Type: application/json" -X POST --user ABCDEFGHIJKLMNOPQRSTUVWXYZ:AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz -d '{}' http://ec2-54-88-168-7.compute-1.amazonaws.com:8000/api/v1.0/login
或通过javascript
var url = apiBaseUrl + '/login';
var sp_api_key_id = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
var sp_api_key_secret ='AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz';
get the Resource object w/ custom "get" method
$resource(url, {}, {
get: {
method: 'GET',
headers: {
Authorization: 'Basic ' +
$base64.encode(sp_api_key_id + ':' + sp_api_key_secret)
}
}
}).get().then(function(result) {
console.log("Loging Success")
});
显然,让用户将API密钥输入表单进行身份验证是不方便的。我想知道为什么stormpath-express接受API ID /秘密组合但不接受用户名/密码。
这是我的nodejs服务器的代码
router.post('/login', stormpath.loginRequired, function (req, res, next) {
/*
* If we get here, the user is logged in. Otherwise, they
* were redirected to the login page
*/
var respnse = {
message: 'If you can see this page, you must be logged into your account!'
}
res.json(respnse);
res.status(200);
});
Stormpath设置代码
// Config
app.use(stormpath.init(app, {
// TODO
// apiKeyFile: './app/config/stormpath_apikey.properties',
application: 'https://api.stormpath.com/v1/applications/ABCDEFGHIJKLMNOPQRSTUVWXYZ',
secretKey: settings.stormpath_secret_key,
web: {
login: {
enabled: false
},
register: {
uri: '/user/register'
},
preLoginHandler: function (formData, req, res, next) {
console.log('Got login request', formData);
next();
}
},
postLoginHandler: function (account, req, res, next) {
console.log('User:', account.email, 'just logged in!');
next();
}
}));
答案 0 :(得分:0)
我在Stormpath工作。 API密钥身份验证功能(帐户被发布API密钥)旨在用于服务器到服务器客户端,而不是Web浏览器客户端。因此,API密钥旨在与HTTP基本身份验证一起使用或交换为OAuth2访问令牌。这两种策略都在本文档中描述:
http://docs.stormpath.com/nodejs/express/latest/authentication.html#http-basic-authentication
http://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-client-credentials
Web浏览器客户端意味着使用/login端点,并且它们会收到Oauth2访问和刷新令牌(我们将这些存储在安全cookie中)。这是表达stormpath的特殊细微差别。您可以使用oauth / token端点进行正确的OAuth2密码交换,这也在此处描述:
http://docs.stormpath.com/nodejs/express/latest/authentication.html#oauth2-password-grant
我希望这个答案有所帮助!
答案 1 :(得分:0)
对于基于angularJS的基于Web的客户端,我们可以使用/ login端点,并允许浏览器管理它发送的cookie,使用/ oauth / token端点接收访问和刷新令牌。 The oauth2 method is described in detail here和here。 oauth2方法允许一次性交换用于访问令牌的API密钥。此访问令牌是有时间限制的,必须定期刷新。
function Login(user) {
var apiBaseUrl = "https://api.stormpath.com/v1/applications/ABCDEFGHIJKLMNOPQRSTUVWXYZ";
var sp_api_id = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
var sp_api_secret = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz'
var req = {
method: 'POST',
url: apiBaseUrl + '/oauth/token',
headers: {
'Content-Type': 'application/x-www-form-urlencoded',
Authorization: 'Basic ' + $base64.encode(sp_api_id + ':' + sp_api_secret)
},
data: 'grant_type=password&username=' + user.email + '&password=' + user.password
}
return $http(req).then(handleSuccess, handleError);
}