问使用passport.js和express.js (node.js)创建安全的oauth API

EN

我想我有一个具体的问题，除非我没有以正确的方式做事情。

我有一个两端的应用程序，一个客户端(html站点)和一个API (用express +mongodb构建)。需要安全地访问API。它们都在不同的域上，现在假设我的站点在domain.com上，我的应用程序接口在api.com:3000上。

当我使用Github的数据创建我的用户时，我添加了passport来从Github获取访问令牌，所以我基本上可以有一个"Sign in with Github“。

我目前的流程是：

1)客户端(站点)在API上打开弹出窗口

window.open("http://api.com:3000/oauth")

2) express服务器，启动passport流程：

app.get('/oauth', passport.authenticate('github'), function(req, res) {

});

对于策略，我使用了this code。

3)我将回调重定向到一个关闭弹出窗口的url (带有window.close()的javascript)：

app.get('/oauth/callback', passport.authenticate('github', { failureRedirect: '/' }), function(req, res) {
    res.redirect('/auth_close');
});

至此，一切都很好，我现在登录到了API中。我的问题是如何将数据返回给客户端，因为客户端还不知道任何关于accessToken、用户或用户id的信息。

因此，在客户端(打开弹出窗口的站点)，我尝试了不同的方法：

从弹出窗口获取一个值:由于重定向不起作用，我丢失了弹出的javascript information

• calling my

• 来获取会话中的“当前用户”的轨迹，例如http://api.com:3000/current
• http://api.com:3000/current One
• ，这不是很理想，但这一个可以工作。然而，我仍然有一个问题。

如果我从浏览器访问这个/current url，它将返回用户，因为浏览器在头请求中发送了express session cookie：

Cookie:connect.sid=s%3AmDrM5MRA34UuNZqiL%2BV7TMv6.Paw6O%2BtnxQRo0vYNKrher026CIAnNsHn4OJdptb8KqE

问题是我需要从jquery或类似的地方发出这个请求，这就是它失败的地方，因为会话没有被发送。因此不会返回用户：

app.get('/current', function() {
    // PROBLEM HERE, req.user is undefined with ajax calls because of the session!
});

我找到了一种让它工作的方法，但我对此并不满意，因为我会遇到跨浏览器的CORS问题，这是对express的补充：

res.header("Access-Control-Allow-Credentials", "true");

并在jquery ajax调用中添加withCredentials字段，如here所述。

要在本机XHR对象上设置的fieldName-fieldValue对的映射。例如，如果需要，您可以使用它将跨域请求的withCredentials设置为true。

$.ajax({
   url: a_cross_domain_url,
   xhrFields: {
      withCredentials: true
   }
});

我对此也不满意，因为我丢失了头文件中的通配符：Access-Control-Allow-Origin，我需要指定一个域，正如here所解释的那样。

所以，我不确定我在这里应该采取什么方法，我唯一需要的是客户端从passport oauth过程中获得一个accessToken或一个userID。其思想是在每次对API的调用中使用该令牌来验证调用。

有什么线索吗？