小弟初涉node领域,不足之处,还请多多指教! 欢迎Star、Fork:https://github.com/gefangshuai/ANodeBlog
本文来介绍系统中用到的权限认证的知识。
首先简单介绍一下passportjs。 Passport做登录验证具有:灵活性、模块化、丰富的中间件等特点,更加详细的介绍请参考:http://idlelife.org/archives/808
注意:关于passport的配置信息要放置在
app.js
所有的路由请求上面,这样才能对所有的路由进行过滤。
npm install passport --save
我们还用到了本地验证策略,所以将passport-local
一起安装
npm install passport-local --save
var passport = require('passport');
var LocalStrategy = require('passport-local').Strategy;
passport.use(new LocalStrategy(callback_function)));
**callback_function: ** 三个参数分别是:
username
、password
、done
。
username
:需要验证的“用户名”password
:需要验证的“密码”done
: 对验证结果的处理方法
username
和password
默认对应表单的name="username"
和name="password"
,也可以自己定义表单的名字,比如:
passport.use(new LocalStrategy({
usernameField: 'email',
passwordField: 'passwd'
},
function(username, password, done) {
// ...
}
));
关于done
函数:
return done(null, user)
return done(err)
或者return done(null, false)
或者return done(null, false, { message: 'Incorrect password.' })
passport.serializeUser(function (user, done) {
done(null, user.id);
});
反序列化: 即:根据存在的sessionID,从数据库中查询user并存储与req.user中。
passport.deserializeUser(function (id, done) {
done(null, id);
});
做完以上三步,就已经简单地将passport集成在项目中了。
在处理登陆请求的路由中,加入登录处理的配置信息,然后passport会自动帮你处理是否登录成功(有点类似shiro)。
router.post('/login', passport.authenticate('local', options), success_callback);
options可以定义的参数:
session
:Boolean。设置是否需要session,默认为truesuccessRedirect
:String。设置当验证成功时的跳转链接failureRedirect
:String。设置当验证失败时的跳转链接failureFlash
:Boolean or String。设置为Boolean时,express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。successFlash
:Boolean or String。使用方法同上。success_callback:验证成功后做的处理,可以是登录成功后的跳转等等。
使用其实很简单,passport扩展了http request
默认提供了一些内置方法:
request.logIn(user, options, callback)
: 将登录用户存入session。req.logIn(user, function(err) {
if (err) { return next(err); }
return res.redirect('/users/' + user.username);
});
这样,就可以通过req.user
获取user
对象了
request.logOut()
:退出登录用户,删除session信息。request.isAuthenticated()
:判断当前请求的用户是否已授权(已登录),返回true
或false
request.isUnauthenticated()
:跟request.isAuthenticated()
相反。有了上面的知识,我们就可以统一进行验证了。 如:对于后台管理的模块,必须登录用户才能有权限,所以可以对后台管理的所有路由进行拦截,为了方便我们可以自定义一个中间件来统一进行处理:验证通过,继续;验证不通过,跳回到登录页面,并告知需要登陆。
module.exports = {
/**
* 登陆权限验证
*/
isAuthenticated: function (req, res, next) {
if(req.isAuthenticated()) {
return next();
}else{
req.flash(config.constant.flash.error, '请先登录!');
res.redirect('/login')
}
}
};
app.use('/dashboard', authority.isAuthenticated, require('./routes/dashboard'));
app.use('/dashboard/p', authority.isAuthenticated, require('./routes/dashboard-p'));
app.use('/dashboard/u', authority.isAuthenticated, require('./routes/dashboard-u'));
关于passport-local的实用实例,在官方wiki有给出,可以做一下参考。