我有一个创建的简单登录表单。只要密码字段中包含某些内容,它似乎就可以对任何现有用户进行身份验证。显然,这是一个巨大的安全漏洞。我是新来的意思是堆栈,使用护照来验证用户身份似乎很容易,但是不确定我是否做错了。
这是我使用passportjs的后端代码:
app.js
const passport = require('passport');
require('./config/passport');
app.use(passport.initialize());
routes / index.js
const ctrlAuth = require('../controllers/authentication');
router.post('/login', ctrlAuth.login);
controllers / authentication.js
module.exports.login = function(req, res) {
passport.authenticate('local', function(err, user, info){
let token;
// If Passport throws/catches an error
if (err) {
res.status(404).json(err);
return;
}
// If a user is found
if(user){
token = user.generateJwt();
res.status(200);
res.json({
"token" : token
});
} else {
// If user is not found
res.status(401).json(info);
}
})(req, res);
};
最后,我的配置文件
config / passport.js
const passport = require('passport');
const LocalStrategy = require('passport-local').Strategy;
const mongoose = require('mongoose');
const User = mongoose.model('User');
passport.use(new LocalStrategy({
usernameField: 'email'
},
function(username, password, done) {
User.findOne({
email: username
}, function(err, user) {
if (err) {
return done(err);
}
//Return if user not found in database
if (!user) {
return done(null, false, {
message: 'User not found'
});
}
//Return if password is wrong
if (!user.validPassword(password)) {
return done(null, false, {
message: 'Password is wrong'
});
}
//If credentials are correct, return the user object
return done(null, user);
});
}
));
我相信我已将错误缩小到我的validPassword函数,在该函数中我可能不正确地使用bcrypt。
userSchema.methods.validPassword = function(password){
return bcrypt.compare(password, this.hash);
};
答案 0 :(得分:0)
我将问题缩小到我的validPassword方法,发现我使用的bcrypt错误。更改为
userSchema.methods.validPassword = function(password){
return bcrypt.compareSync(password, this.hash);
};
查看bcrypt https://github.com/kelektiv/node.bcrypt.js#readme的文档后,您会更加了解