我正在尝试使用 express 设置网络服务器。要访问此服务器,用户必须进行身份验证,为此,我使用 Express 提供的 basicAuth() 中间件。它工作得很好,除了我登录后不知道如何注销!我必须关闭浏览器才能断开连接,但我希望有一个“断开连接”页面,该页面将重定向到“登录”页面(这个页面带有用于登录的可怕表单......)。
有人有想法吗?
提前致谢
PS : 我为我可怜的英语道歉:)
最佳答案
Express'basicAuth 使用 HTTP 基本身份验证,其实现不需要 HTML 页面、cookie 或 session ID。它的主要缺点是不安全,而且我们在这里担心的是,规范中没有服务器指示浏览器注销的机制。
express.basicAuth() 调用 require(blah-blah/connect/lib/utils).unauthorized() 发送一个带有标题“WWW-Authenticate: Basic realm="..."' 的 401 状态。浏览器处理身份验证窗口,从那时起发送一个标题,如“Authorization: Basic YmFzaWM6YmFzaWM=”,其中包含用户名和密码。
(express.basicAuth 不安全,尤其是通过 HTTP,因为您可以使用
获取用户名:密码new Buffer('YmFzaWM6YmFzaWM=' , 'base64').toString()
在这种情况下给出 basic:basic。)
我们的问题是 HTTP 规范没有提供阻止发送该 header 的方法。 HTTPS 的一种解决方法是将用户重定向到具有错误凭据的同一域上的 URL。
我用于 Express V3 的 HTTP 解决方法可以与 app.use(express.basicAuth(...)) 一起使用。我发现这比其他需要在每个安全路由中调用中间件的解决方案更容易使用,例如app.get('/secure', checkAuth, function (req, res) {...}).
这是一个工作示例。
var express = require('express'),
http = require('http'),
app = express();
app.use(express.favicon()); // prevent interference during test
app.use(express.bodyParser());
app.use(express.cookieParser());
app.use(express.session({ secret: 'winter is coming' }));
app.use(function (req, res, next) {
if (!req.session.authStatus || 'loggedOut' === req.session.authStatus) {
req.session.authStatus = 'loggingIn';
// cause Express to issue 401 status so browser asks for authentication
req.user = false;
req.remoteUser = false;
if (req.headers && req.headers.authorization) { delete req.headers.authorization; }
}
next();
});
app.use(express.basicAuth(function(user, pass, callback) {
callback(null, user === 'basic' && pass === 'basic');
}, '***** Enter user= basic & password= basic'));
app.use(function (req, res, next) {
req.session.authStatus = 'loggedIn';
next();
});
app.use(app.router);
app.get('/secure', function (req, res) {
res.send([
'You are on a secured page.',
'<br>',
'<a href="./secure">Refresh this page without having to log in again.</a>',
'<br/>',
'<a href="./logout">Log out.</a>'
].join(''));
});
app.get('/logout', function (req, res) {
delete req.session.authStatus;
res.send([
'You are now logged out.',
'<br/>',
'<a href="./secure">Return to the secure page. You will have to log in again.</a>',
].join(''));
});
http.createServer(app).listen(3000, function(){
console.log('Express server listening on port 3000. Point browser to route /secure');
});
附:你的英语很好。
关于node.js - 如何从 basicAuth (Express) 中注销,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16360293/