密码凭证是 Web 开发中的一项基本功能,但是在许多应用中,这种机制带来了不必要的繁琐和复杂性。了解 passwordless 能够极大地简化密码凭证的使用,并有助于提高开发效率和程序的安全性。
什么是 passwordless?
在 Web 应用中使用密码身份验证是一项广泛应用的功能。密码身份验证机制通过用户输入正确的用户名和密码,来验证用户的身份。但是,这种机制有以下问题:
- 用户需要记住他们的用户名和密码。
- 密码的存储必须在服务器上,如果用户密码数据暴露,那么用户的账户便极为不安全。
- 如果用户忘记了他们的密码,他们需要通过一些复杂的过程来重置密码。
passwordless 解决了这些问题。它是一个 JavaScript 库,旨在使 Web 开发人员通过一次性令牌来验证用户的身份。这个库使用生成一个令牌,并将令牌发给用户,方便助手通过前端的方式完成身份验证。
如何使用 passwordless?
passwordless 在您的应用程序中进行身份验证的方法简单易懂。下面是使用 passwordless 的步骤:
步骤 1:安装 passwordless
安装 passwordless 最简单的方法就是使用 npm。在 node.js 应用程序中,可以使用以下命令安装 passwordless:
npm install passwordless --save
步骤 2:设置 Passwordless
设置 Passwordless 是很简单的。首先,您需要创建一个独立的邮件 DAO。该 DAO 已经为您创建,以便您可以将其添加到应用程序的主文件中,如下所示:
-- -------------------- ---- -------
--- ----- - ------------------- -- -----
--- ---- - ----------------
--- ------------ - ------------------------
--- -------------- - ---------------------------
--- -------- - -------------------- -- ---- -------
-- -----
--- ----------- - ----------------------
----- ------
--------- -----
----- ----------
---- ----
---
-- ----
--------------------------------------
------- ---- -- ---------- ---------- ------------------------
---
---------------
-------------------- -------- ----------
------------- --------- -
--------------------- ----------------------------------------------
-------------------------
--------------------- ---------- ---------- --------- -
-- -------- --- ------ - ------ ----- --- ---- ----
--- ----- - ------------- - ------------
-- ----- ----- -------
--- --------- - --- --------
------- ----------
------ ------
---------- ----------
---
---------------------------- -
-- ----- -------------------
---------
-
---------- ----------
------- --------------------------------------
------ -----
--
------------- ----- -
-----------------
-
----- ------------- ------------------------
--- ----------
-------- ---------------
----------- -
-
----- -----
------------ ----
-
-
--
------------- -------- -
-- ----- -
-------------------
-------
-
----------------- ------- -- - - -----------
-----------
-
--
-
--
---
--
-
-- --- ---- --- ----- -- ----- ---
---- -- - -- - -- - ---- -- ---
-
--
-
--在这个例子中,我们使用“email”库作为我们的邮件服务商。使用 EmailTokenStrategy 需要设置传入的参数:emailServer 为从 "email" 库返回的邮件服务器,并发送邮件的电子邮件 DAO。
步骤 3:定义路由
-- -------------------- ---- -------
------------------ ------------- ---- -
--- -------- - -
-- ------ --
------- ---------------
--
-- ---------------- -
-------------- - ---------------
- ---- -- ---------------- -
-------------- - ---------------
-
----------------------------------------- --------- -
--------------- ------ ----- -- ------------- ----- -
-- ----- -
-------------------
-------
-
-- ------- -
------------------- --- ---------
-------
-
----------------- - ------
------------------ - --------
---------
--------
- --- ----------- -------- ------ ------ --
- ------ ----- -
--
--------------- -------
---
-- ----------
---
--------------------
-------------------------- ---------------- ---------- ---
-------- ----- ---- -
------------------- -
------ -----------------------
----- - --- -------------------- -
---
---步骤 4:完成验证
最后,您的应用程序需要对令牌进行验证。我们可以通过在验证路由上使用 passwordless.acceptToken 方法完成这一操作。
app.get("/validate",
passwordless.acceptToken({ successRedirect: "/content" }),
function (req, res) {
res.render("token", {
token: req.passwordless.token,
user: { id: req.passwordless.uid }
});
});这个路由将查找传入的令牌,如果它是有效的,并重定向到应用程序中的“内容”页面。
总结
passwordless 是一种使 Web 服务实现密码凭证的简单有效的方法。它提供了一种基于电子邮件的两步验证方式,允许用户更轻松地登录他们的帐户。 此外,使用 passwordless 使得密码存储机制不再必要,增强应用程序整体的安全性。
密码凭证机制的设置,对于每个团队来说都是必要的。passwordless 可以帮助 Web 开发人员为 Web 应用程序部署密码凭证机制,从而增强其安全性。希望本文可以帮助读者更好地理解和使用 passwordless。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/198558