我正在开发 Node.js 项目,该项目使用 basic-auth用于密码保护。目前,auth.js 文件为所有路由提供相同的用户名/密码。我如何调整它以对每个路由使用不同的用户名/密码?
auth.js 文件:
const auth = require('basic-auth');
const username = 'admin';
const password = 'supersecret';
const internalIp = 'xxx.xx.xxx.xxx';
module.exports = function(app) {
app.use((req, res, next) => {
const ip = req.headers['x-forwarded-for'] || req.connection.remoteAddress;
// whitelist internal IP
if (ip === internalIp) {
next();
} else {
const user = auth(req);
if (user === undefined || user.name !== username || user.pass !== password) {
// Return 401 error if user/pass is incorrect or empty
res.statusCode = 401;
res.setHeader('WWW-Authenticate', 'Basic realm="Research tool"');
res.end('Unauthorized');
} else {
next();
}
}
});
};
app.js 文件:
var express = require('express');
var app = express();
var auth = require('./sources/auth.js');
// Run auth around app first
auth(app);
app.get('/route1', function(req, res) {
res.render('pages/route1');
}
app.get('/route2', function(req, res) {
res.render('pages/route2');
}
app.listen(port, function() {
console.log('App listening on port: ' + port);
});
运行:node v6.11.1、express 4.13.4、basic-auth 1.1.0
最佳答案
硬编码用户名和密码是很不寻常的。更典型的是,用户名和(散列)密码存储在数据库中。然后,当授权请求到来时,您可以使用用户名来获取密码,然后将两个密码进行比较。这样,一个身份验证中间件就可以为任意数量的用户名/密码组合提供服务。
也就是说,如果您确实需要两个独立的身份验证中间件,更好的方法是将所需的中间件插入到每个路由中。像这样的事情:
auth.js
const auth = require('basic-auth')
const getAuthorizer = (name, pass) => (req, res, next) => {
const user = auth(req)
if (!user || user.name !== name || user.pass !== pass) {
res.status(401).send('Unauthorized')
} else {
next()
}
}
const admin = getAuthorizer('admin', 'supersecret')
const user = getAuthorizer('user', '12345')
module.exports = { admin, user }
app.js
const express = require('express')
const app = express()
const auth = require('./sources/auth')
app.get('/route1', auth.admin, (req, res) => {
res.render('pages/route1')
})
app.get('/route2', auth.user, (req, res) => {
res.render('pages/route2')
})
app.listen(port, () => {
console.log('App listening on port: ' + port)
})
关于Node.js - 如何为不同的路由设置单独的身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47157593/