我正在尝试创建自己的身份验证策略,该策略在FeathersJS后端中读取客户端的PKI证书。这是通过before挂钩处理的,并且根据文档挂钩是
挂钩是独立于传输的,这意味着它是否已通过HTTP(S)(REST),Socket.io,Primus或Feathers将来可能支持的任何其他传输方式调用都无关紧要。它们也是服务不可知的,这意味着它们可以与任何服务一起使用,无论它们是否具有模型。
这不是一个坏主意,但是我需要挂钩中的TLS套接字结构来获取用户的证书。本质上是调用:req.socket.getPeerCertificate()。我正在使用passport-client-certificate模块,这是有问题的策略:
class ClientCertStrategy extends Strategy {
constructor (options, verify) {
if (typeof options === 'function') {
verify = options
options = {}
}
if (!verify) throw new Error('Client cert authentication strategy requires a verify function')
super()
this.name = 'client-cert'
this._verify = verify
this._passReqToCallback = options.passReqToCallback
}
_verified (err, user) {
if (err) { return this.error(err) }
if (!user) { return this.fail() }
this.success(user)
}
authenticate (req, options) {
// Requests must be authorized
// (i.e. the certificate must be signed by at least one trusted CA)
if (!req.socket.authorized) {
this.fail()
return
}
// This is where it fails! req.socket does not exist
const clientCert = req.socket.getPeerCertificate()
if (!clientCert) {
this.fail()
// TODO: Failure message
// this.fail({message: options.badRequestMessage || 'Missing client certificate'}, 400)
return
}
try {
if (this._passReqToCallback) {
this._verify(req, clientCert, this._verified.bind(this))
} else {
this._verify(clientCert, this._verified.bind(this))
}
} catch (err) {
return this.error(err)
}
}
}
基于FeathersJS代码,authenticate函数基本上是从hook发出新的请求对象的。有什么方法可以使钩子在执行钩子时更早获得并稍后可用?
答案 0 :(得分:1)
我写了一个问题,并指出了FAQ,它最终帮助我解决了这个问题:
https://github.com/feathersjs/authentication/issues/693
https://docs.feathersjs.com/faq/readme.html#how-do-i-access-the-request-object-in-hooks-or-services
最终我写了一个中间件,将证书插入请求params中。将请求params复制到该挂钩中,然后将该挂钩传递到Passport策略中。