首先,这不是重复的,因为所有文档/答案都是针对 v1.0 之前的版本的,而且它们似乎不起作用。
我正在尝试使用 passport
和 SailsJS v1.0 实现简单的身份验证。
问题是...因为我是新手,而且 sailsjs (v1) 似乎缺乏在线示例,所以我陷入了困境。
应用程序应该像这样工作 -> 用户注册,验证他们的电子邮件,然后登录。登录后,用户会返回一个 accessToken
,他需要使用它来向 protected 路由发出请求(通过 Bearer
或其他方式)。
token 应该保存在数据库中,这样当用户更改密码等时我可以使它们失效。
我怎样才能实现这样的目标?这就是我到目前为止所得到的(在线合并旧/新示例)。
User.js(模型)
const bcrypt = require('bcryptjs');
module.exports = {
attributes: {
email: {
type: 'string',
required: true,
unique: true
},
username: {
type: 'string',
required: true,
unique: true
},
password: {
type: 'string',
required: true
},
tokens: {
collection: 'token',
via: 'userId'
}
},
customToJSON: function () {
return _.omit(this, ['password'])
},
beforeCreate: function (user, cb) {
bcrypt.genSalt(10, function (err, salt) {
bcrypt.hash(user.password, salt, null, function (err, hash) {
if (err) return cb(err);
user.password = hash;
return cb();
});
});
}
};
Token.js(模型)
module.exports = {
attributes: {
token: {
type: 'string',
required: true,
unique: true
},
userId: {
mode: 'user'
},
isValid: {
type: 'bool',
}
},
};
由于我对 Node 特别是 sails 非常陌生,所以我有很多问题。
- 如果数据库中的 token 是,我如何在用户登录时创建 token 无效(或者我应该在注册/更改时使用 1 个 token 密码?)
- 我如何实现实际的身份验证过程
使用
Passport
? - token 是否应该采用特定格式(字符数等) 安全原因?
- 有更好的方法来实现我想要实现的目标吗? (成为 更确切地说,我想要一个 REST Api 后端来为我的 ReactJS 前端提供服务 能够为 android/ios 等重用相同的后端)。
任何提示、链接、建议等都将受到高度赞赏。谢谢并怜悯我的知识匮乏!
编辑:这种方法会阻止我使用社交媒体登录(我也想在将来实现这一点)吗?
最佳答案
您可以使用 JWT 进行身份验证。
使用以下代码在 api/policies 文件夹中创建名为 isAuthenticated.js 的文件。
const passport = require('passport');
module.exports = async (req, res, proceed) => {
passport.authenticate('jwt', { session: false }, (err, user, info) => {
if (err) {
res.serverError(err, err.message);
}
if (user) {
req.user = user;
return proceed();
}
if (info) {
return res.forbidden(info);
}
// Otherwise, this request did not come from a logged-in user.
return res.forbidden();
})(req, res, proceed);
};
使用 jwt.js 文件和以下代码在 api 文件夹中创建策略文件夹。
const JwtStrategy = require('passport-jwt').Strategy;
const { ExtractJwt } = require('passport-jwt');
const passport = require('passport');
const opts = {};
opts.jwtFromRequest = ExtractJwt.fromAuthHeaderAsBearerToken();
opts.secretOrKey = JWT_SECRET;
opts.issuer = JWT_ISSUER;
opts.audience = JWT_AUDIENCE;
opts.jsonWebTokenOptions = {
expiresIn: JWT_EXPIRES_IN,
};
module.exports = {
/**
* Passport Strategy
*/
passport: () => {
passport.use(new JwtStrategy(opts, (jwtPayload, done) => {
User.findOne({ id: jwtPayload.id }, (err, user) => {
if (err) {
return done(err, null);
}
if (user) {
return done(null, user);
}
return done({ message: 'No user account found' }, 'No user account found');
});
}));
},
};
在 app.js 文件顶部 require('./api/strategies/jwt').passport();
。
现在您可以将策略应用于 config/policies.js 中的路由。
要生成 JWT,您可以使用以下代码。
const jwt = require('jsonwebtoken');
module.exports = {
generate: (id, email) => jwt.sign({ id, email }, jwtSecret, {
audience: jwtAudience,
expiresIn: jwtExpiresIn,
issuer: jwtIssuer,
})
};
关于node.js - SailsJS v1.0 承载身份验证(API token ),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54503346/