本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂,而且其将源码放到 GitHub 上,运行即可。 好了。我们开始。使用 NodeJS 完成身份验证的功能,这里除了 express 之外,还需要使用 MongoDB 数据库用于保存和读取出我们的用户。请确保好在实践之前,你的机器上有 nodejs 和 MongoDB。如果没有,可以使用npm install 来安装。 应用部分 首先,了解以下什么是 pass.js ? 在源文件中,我们使用了一个文件pass.js ,用它来作为此次身份验证应用中的一个模块。用它可以来保证我们保存到数据库中的用户名和密码是经过加密的,并且可以用于验证用户输入的密码和数据库中的密码是否相同。 一、模块依赖 和很多的 NodeJS 应用一样,这里是我们的应用需要依赖的模块: var express = require('express'), mongoose = require('mongoose'), hash = require('./pass').hash;
二、数据库和模型 首先,我们需要开启我们本地的 MongoDB 服务器。在这里,我使用myapp 作为我的数据库。我们指定我们的数据库架构,其中包含着用户名和密码,还有哈希加密部分。 mongoose.connect('mongodb://localhost/myapp'); var UserSchema = new mongoose.Schema({ var User = mongoose.model('users', UserSchema);
三、配置和中间件 和一般的 express 应用一样,需要配置好应用所需要使用和定义的内容项。包括session 、模板引擎等。这里还有个中间件,用于处理用户登录或者注册之后回显错误信息。 app.configure(function () { app.use(express.bodyParser()); app.use(express.cookieParser('Authentication Tutorial ')); app.use(express.session()); app.set('views', __dirname + '/views'); app.set('view engine', 'jade'); app.use(function (req, res, next) { var err = req.session.error, //主要代码,防止页面刷新表单重复提交 msg = req.session.success; delete req.session.error; delete req.session.success; if (err) res.locals.message = '<p class='msg error'>' + err + '</p>'; if (msg) res.locals.message = '<p class='msg success'>' + msg + '</p>';
四、辅助函数 在身份验证功能中,基本上是用户输入了用户名和密码,提交到我们的服务器中,通过取到的用户名和密码和数据库中进行比较。先检测用户是否存在,如果是,则再检查密码是否正确。 function authenticate(name, pass, fn) { if (!module.parent) console.log('authenticating %s:%s', name, pass); if (err) return fn(new Error('cannot find user')); hash(pass, user.salt, function (err, hash) { if (hash == user.hash) return fn(null, user); fn(new Error('invalid password')); return fn(new Error('cannot find user'));
当我们一个页面需要登录的时候才能访问时,就需要控制用户在没有登录的时候,自动跳转到登录页面去执行登录。 function requiredAuthentication(req, res, next) { req.session.error = 'Access denied!';
在注册的时候,我们会校验用户注册的用户名是否已经存在数据库中,通过这个函数可以实现这个功能: function userExist(req, res, next) { username: req.body.username }, function (err, count) { req.session.error = 'User Exist'
五、页面访问路由器控制 什么是路由器控制?我觉得就是当你在浏览器访问某一个路径的时候,身份验证这个应用会决定带你去哪个页面。于是就有了访问的一些规则和路由: / :如果用户已经登录,则显示欢迎某某某;否则提供登录和注册的入口。/signup :用于注册一个新的用户。/login :用户的身份验证,提供登录功能。/profile :只有已经登录的用户才能访问自己的档案。 用户通过某一个链接地址和服务器通讯,并把服务器资源取到本地浏览器来,是一个 GET 请求。而用户提交一个表单到服务器,是一个 POST 的动作。我们需要定义好这一个过程: app.get('/', function (req, res) { res.send('Welcome ' + req.session.user.username + '<br>' + '<a href='/logout'>logout</a>'); res.send('<a href='/login'> Login</a>' + '<br>' + '<a href='/signup'> Sign Up</a>'); //访问注册页面,判断用户是否已经登录,是则自动跳首页 app.get('/signup', function (req, res) { app.get('/login', function (req, res) { app.get('/logout', function (req, res) { req.session.destroy(function () { app.get('/profile', requiredAuthentication, function (req, res) { res.send('Profile page of '+ req.session.user.username +'<br>'+' click to <a href='/logout'>logout</a>');
在身份验证这个应用中,主要的两个表单是「登录」的表单和「注册」的表单。下面是 POST 的处理: app.post('/signup', userExist, function (req, res) { var password = req.body.password; var username = req.body.username; hash(password, function (err, salt, hash) { }).save(function (err, newUser) { authenticate(newUser.username, password, function(err, user){ req.session.regenerate(function(){ req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.'; app.post('/login', function (req, res) { authenticate(req.body.username, req.body.password, function (err, user) { req.session.regenerate(function () { req.session.success = 'Authenticated as ' + user.username + ' click to <a href='/logout'>logout</a>. ' + ' You may now access <a href='/restricted'>/restricted</a>.'; req.session.error = 'Authentication failed, please check your ' + ' username and password.';
一个简单的身份验证功能已经完成,通过NodeJS来做是不是很简单? 恩。现在还有很多很棒的身份验证应用,例如PassprotJS 和EverAuth ,将他们融入到这个登录模块中来,可以让更多的社会化网站用户登录和注册。
|