用NodeJS完成简单的身份验证

本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂，而且其将源码放到 GitHub 上，运行即可。

好了。我们开始。使用 NodeJS 完成身份验证的功能，这里除了 express 之外，还需要使用 MongoDB 数据库用于保存和读取出我们的用户。请确保好在实践之前，你的机器上有 nodejs 和 MongoDB。如果没有，可以使用npm install来安装。

应用部分

• 模块依赖
• 数据库和模型
• 中间件和配置
• 辅助函数
• 页面访问路由器控制

首先，了解以下什么是 pass.js ？

在源文件中，我们使用了一个文件pass.js，用它来作为此次身份验证应用中的一个模块。用它可以来保证我们保存到数据库中的用户名和密码是经过加密的，并且可以用于验证用户输入的密码和数据库中的密码是否相同。

一、模块依赖

和很多的 NodeJS 应用一样，这里是我们的应用需要依赖的模块：

1. var express = require('express'),
2. http = require('http'),
3. path = require('path'),
4. mongoose = require('mongoose'),
5. hash = require('./pass').hash;
7. var app = express();

二、数据库和模型

首先，我们需要开启我们本地的 MongoDB 服务器。在这里，我使用myapp作为我的数据库。我们指定我们的数据库架构，其中包含着用户名和密码，还有哈希加密部分。

mongoose.connect('mongodb://localhost/myapp');
var UserSchema = new mongoose.Schema({
    username: String,
    password: String,
    salt: String,
    hash: String
});
var User = mongoose.model('users', UserSchema);

三、配置和中间件

和一般的 express 应用一样，需要配置好应用所需要使用和定义的内容项。包括session、模板引擎等。这里还有个中间件，用于处理用户登录或者注册之后回显错误信息。

1. app.configure(function () {
2. app.use(express.bodyParser());
3. app.use(express.cookieParser('Authentication Tutorial '));
4. app.use(express.session());
5. app.set('views', __dirname + '/views');
6. app.set('view engine', 'jade');
7. });
9. app.use(function (req, res, next) {
10. var err = req.session.error, //主要代码，防止页面刷新表单重复提交
11. msg = req.session.success;
12. delete req.session.error;
13. delete req.session.success;
14. res.locals.message = '';
15. if (err) res.locals.message = '<p class='msg error'>' + err + '</p>';
16. if (msg) res.locals.message = '<p class='msg success'>' + msg + '</p>';
17. next();
18. });

四、辅助函数

在身份验证功能中，基本上是用户输入了用户名和密码，提交到我们的服务器中，通过取到的用户名和密码和数据库中进行比较。先检测用户是否存在，如果是，则再检查密码是否正确。

function authenticate(name, pass, fn) {
    if (!module.parent) console.log('authenticating %s:%s', name, pass);
    User.findOne({
        username: name
    },
    function (err, user) {
        if (user) {
            if (err) return fn(new Error('cannot find user'));
            hash(pass, user.salt, function (err, hash) {
                if (err) return fn(err);
                if (hash == user.hash) return fn(null, user);
                fn(new Error('invalid password'));
            });
        } else {
            return fn(new Error('cannot find user'));
        }
    });
}

当我们一个页面需要登录的时候才能访问时，就需要控制用户在没有登录的时候，自动跳转到登录页面去执行登录。

1. function requiredAuthentication(req, res, next) {
2. if (req.session.user) {
3. next();
4. } else {
5. req.session.error = 'Access denied!';
6. res.redirect('/login');
7. }
8. }

在注册的时候，我们会校验用户注册的用户名是否已经存在数据库中，通过这个函数可以实现这个功能：

function userExist(req, res, next) {
    User.count({
        username: req.body.username
    }, function (err, count) {
        if (count === 0) {
            next();
        } else {
            req.session.error = 'User Exist'
            res.redirect('/signup');
        }
    });
}

五、页面访问路由器控制

什么是路由器控制？我觉得就是当你在浏览器访问某一个路径的时候，身份验证这个应用会决定带你去哪个页面。于是就有了访问的一些规则和路由：

• /：如果用户已经登录，则显示欢迎某某某；否则提供登录和注册的入口。
• /signup：用于注册一个新的用户。
• /login：用户的身份验证，提供登录功能。
• /profile：只有已经登录的用户才能访问自己的档案。

用户通过某一个链接地址和服务器通讯，并把服务器资源取到本地浏览器来，是一个 GET 请求。而用户提交一个表单到服务器，是一个 POST 的动作。我们需要定义好这一个过程：

1. //获取首页的处理
2. app.get('/', function (req, res) {
3. if (req.session.user) {
4. res.send('Welcome ' + req.session.user.username + '<br>' + '<a href='/logout'>logout</a>');
5. } else {
6. res.send('<a href='/login'> Login</a>' + '<br>' + '<a href='/signup'> Sign Up</a>');
7. }
8. });
10. //访问注册页面，判断用户是否已经登录，是则自动跳首页
11. app.get('/signup', function (req, res) {
12. if (req.session.user) {
13. res.redirect('/');
14. } else {
15. res.render('signup');
16. }
17. });
19. //访问登录页面，输出登录表单
20. app.get('/login', function (req, res) {
21. res.render('login');
22. });
24. //用户登出
25. app.get('/logout', function (req, res) {
26. req.session.destroy(function () {
27. res.redirect('/');
28. });
29. });
31. //访问个人档案页面，需要登录权限控制
32. app.get('/profile', requiredAuthentication, function (req, res) {
33. res.send('Profile page of '+ req.session.user.username +'<br>'+' click to <a href='/logout'>logout</a>');
34. });

在身份验证这个应用中，主要的两个表单是「登录」的表单和「注册」的表单。下面是 POST 的处理：

app.post('/signup', userExist, function (req, res) {
    var password = req.body.password;
    var username = req.body.username;
    hash(password, function (err, salt, hash) {
        if (err) throw err;
        var user = new User({
            username: username,
            salt: salt,
            hash: hash,
        }).save(function (err, newUser) {
            if (err) throw err;
            authenticate(newUser.username, password, function(err, user){
                if(user){
                    req.session.regenerate(function(){
                        req.session.user = user;
                        req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';
                        res.redirect('/');
                    });
                }
            });
        });
    });
});
app.post('/login', function (req, res) {
    authenticate(req.body.username, req.body.password, function (err, user) {
        if (user) {
            req.session.regenerate(function () {
                req.session.user = user;
                req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.';
                res.redirect('/');
            });
        } else {
            req.session.error = 'Authentication failed, please check your ' + ' username and password.';
            res.redirect('/login');
        }
    });
});

一个简单的身份验证功能已经完成，通过NodeJS来做是不是很简单？

恩。现在还有很多很棒的身份验证应用，例如PassprotJS和EverAuth，将他们融入到这个登录模块中来，可以让更多的社会化网站用户登录和注册。