如何在此示例中使用Passport实施JWT

时间:2019-01-07 15:48:47

标签: node.js authentication jwt passport.js

我正在设置服务器,并希望在登录后用JWT响应用户。我现在正在使用通行证,但在这种情况下不知道如何实施验证。

这是登录路径:

  app.route('/login')
    .get(users.renderLogin)
    .post(users.auth);

用户登录后,我向他的令牌发送了一些信息:

exports.auth = function (req, res, next){

  passport.authenticate('local', {session: false}, (err, user, info) => {

    if (err) { return next(err); }
      console.log(err);

    if (!user) { return res.redirect('/login'); }

    req.logIn(user, function(err) {
      if (err) { return next(err); }

      // Loged in 
      const userInfo = {
        username: user.username,
        name: user.name,
        age: user.age,
        groupid: user.groupid,
        email: user.email,
      }
      const token = jwt.sign(userInfo, process.env.JWT_SEC);
      res.json({
        user,
        token
      })
      // res.redirect('/');
    });
  })(req, res, next);
};

在那之后,我需要在每个用户调用中验证JWT令牌。有人有提示吗?

谢谢

1 个答案:

答案 0 :(得分:3)

来自passport

  

Passport的唯一目的是对请求进行身份验证,它通过一组称为策略的可扩展插件来完成。

此外,passport-local

  

本地身份验证策略使用用户名和密码对用户进行身份验证。该策略需要验证回调,该回调接受这些凭据和提供给用户的调用。

因此,护照的本地策略将仅对通过提供的usernamepassword发出的请求进行身份验证。因此,客户端每次要访问应用程序时都必须发送这些凭据。

因此,要使用Web令牌对请求进行身份验证,您需要提供一个设置JWT的登录过程。 (然后,客户端将只需要发送令牌,而不必每次都存储和传输明确的密码)

要这样做,npm上有很多软件包。我个人使用并推荐jsonwebtoken

用户模型

假设您拥有

这样的用户模型
const UserSchema = new mongoose.Schema({
email: {
    type: String,
    unique: true,
    required: true,
    maxlength: 254,
    trim: true,
    match: /(?:[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(?:(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(?:(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9]))\.){3}(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9])|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])/
    // Ref :            RFC 5322 compliant regex
    // Visualizer :     https://regexper.com/#(%3F%3A%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B(%3F%3A%5C.%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B)*%7C%22(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21%5Cx23-%5Cx5b%5Cx5d-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)*%22)%40(%3F%3A(%3F%3A%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%5C.)%2B%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%7C%5C%5B(%3F%3A(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D))%5C.)%7B3%7D(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D)%7C%5Ba-z0-9-%5D*%5Ba-z0-9%5D%3A(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21-%5Cx5a%5Cx53-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)%2B)%5C%5D)
    // SFSM :           https://en.wikipedia.org/wiki/Finite-state_machine
    // Xcrowzz' note :  Seems to work for 99.99% of email addresses, containing either local, DNS zone and/or IPv4/v6 addresses.
    // Xcrowzz' note :  Regex can be targeted for Catastrophic Backtracking (https://www.regular-expressions.info/catastrophic.html) ; See https://www.npmjs.com/package/vuln-regex-detector to check them before someone DDOS your app.
},
password: {
    type: String,
    required: true,
    minlength: 8,
    maxlength: 254,
    select: false
},
username: {
    type: String,
    required: false,
    unique: true,
    maxlength: 254
}
});
module.exports = mongoose.model('User', UserSchema);

用户控制器

现在,是时候实现JWT生成和签名了,当用户成功登录时应该完成。aka,当主体请求中提供的usernamepassword与数据库匹配时(不要忘记将清除密码与使用bcrypt.compare存储的哈希进行比较)

const jwt = require('jsonwebtoken');
[...]
exports.logUser = async (req, res) => {
    if (!req.body.email || !req.body.password) { return res.status(400).send('Bad Request');}
    else {
        await UserModel.findOne({ email: req.body.email }, async (err, user) => {
            if (err) return res.status(500).send('Internal Server Error');
            if (!user) return res.status(404).send('Not Found');

            let passwordIsValid = await bcrypt.compare(req.body.password, user.password);
            if (passwordIsValid) {
                let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 }); // 24 Hours
                return res.status(200).send({ auth : true, token: token });
            } else {
                return res.status(404).send('Not Found');
            }
        }).select('+password'); // Overrides model's 'select:false' property of the password model's property in order to compare it with given plaintext pwd.
    }
};

注释

let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 });基于id和先前定义的secret创建令牌,该令牌应该是一个非常长且随机的字符串,令牌的整体完整性和安全性可能会受到损害弱secret

这是JWT的最基本配置,一些研究将证明您该代码尚未投入生产。但就您而言,就可以解决问题。

身份验证控制器

最后,您必须设计身份验证中间件,该中间件将提供的令牌与先前签名的令牌进行比较。再次使用secret进行比较。

const secret = (process.env.TokenSuperSecret) ? 
process.env.TokenSuperSecret : 'SuperSecret';
const jwt = require('jsonwebtoken');
const passport = require('passport');
const CustomStrategy = require('passport-custom');

passport.use('jwt', new CustomStrategy(async (req, callback, err) => {
const token = req.headers['x-access-token'];
if (!token) return callback(err);
await jwt.verify(token, secret, (err, decoded) => {
    if (err) return callback(err);
    req.userId = decoded.id;
    callback(null, req);
    });
}));

exports.isAuthenticated = passport.authenticate('jwt', {
  session: false
}, null);

注释

jwt.verify(token, secret, (err, decoded) => {}返回包含decoded userId的承诺(您在登录过程中使用jwt.sign进行了编码)。随时将其传递给您的中间件,以了解当前正在执行请求的用户。

这么久了,感谢所有的鱼!