Node.js 中的 passport 认证授权详解-JavaScript中文网-JavaScript教程资源分享门户

简介

在现代化的 Web 应用程序中，用户认证和授权是非常重要的组成部分。Node.js 中的 passport 是一个流行的用户认证和授权库，它提供了简单易用的接口来实现各种认证和授权方案。在本文中，我们将深入探讨 passport 的工作原理和用法，并提供一些示例代码来帮助您更好地理解和应用 passport。

安装

要使用 passport，您需要先安装它。可以使用 npm 来安装 passport：

npm install passport

除了 passport 本身，还需要安装相应的策略（strategy）来实现不同的认证和授权方案。例如，如果您要使用本地用户名和密码进行认证，可以安装 passport-local 策略：

npm install passport-local

如果您要使用第三方身份验证服务（如 Google、Facebook 或 Twitter），则需要安装相应的策略。在本文中，我们将主要关注本地用户名和密码认证。

工作原理

在使用 passport 时，您需要先设置一个策略（strategy），然后将其传递给 passport 的 authenticate() 方法。例如，要使用本地用户名和密码认证，您可以这样做：

-- -------------------- ---- -------
--- -------- - --------------------
--- ------------- - -----------------------------------

---------------- --------------
  ------------------ --------- ----- -
    -- -----------
    -- --------- --- ------- -- -------- --- -------- -
      ------ ---------- - --------- ------- ---
    - ---- -
      ------ ---------- ------ - -------- ---------- -------- -- ---------- ---
    -
  -
---

在上面的代码中，我们首先引入了 passport 和 passport-local 模块，然后定义了一个本地策略（LocalStrategy）。在 LocalStrategy 的构造函数中，我们定义了一个回调函数，该函数接收用户名和密码作为参数，并返回一个回调函数 done。在回调函数中，我们使用 if 语句验证用户名和密码，如果验证通过，则返回用户对象；否则返回错误信息。

一旦我们定义了策略，我们就可以将其传递给 passport 的 authenticate() 方法来进行认证。例如，要在路由中使用本地认证，可以这样做：

app.post('/login',
  passport.authenticate('local', { successRedirect: '/', failureRedirect: '/login' })
);

在上面的代码中，我们使用了 Express 框架中的 app.post() 方法来定义一个路由。在路由中，我们调用了 passport.authenticate() 方法来进行本地认证。authenticate() 方法接收两个参数：策略名称和一个选项对象。在本例中，我们将策略名称设置为 'local'，选项对象中指定了成功和失败的重定向地址。

高级用法

除了基本的认证和授权，passport 还提供了许多高级用法，例如：

序列化和反序列化

在进行用户认证时，passport 需要将用户对象序列化为一个字符串，然后将其存储在会话中。当用户进行下一次请求时，passport 将从会话中反序列化用户对象，并将其作为 req.user 对象的属性。为了实现序列化和反序列化，您需要在 passport 中定义两个回调函数：serializeUser() 和 deserializeUser()。

-- -------------------- ---- -------
------------------------------------- ----- -
  ---------- ---------
---

------------------------------------- ----- -
  ----------------- ------------- ----- -
    --------- ------
  ---
---

在上面的代码中，我们定义了一个序列化回调函数 serializeUser 和一个反序列化回调函数 deserializeUser。在 serializeUser 中，我们将用户对象的 id 属性作为字符串返回，以便将其存储在会话中。在 deserializeUser 中，我们使用用户 id 查找用户对象，并将其作为回调函数的参数返回。

中间件

除了在路由中使用 authenticate() 方法进行认证外，passport 还提供了一个中间件（middleware）机制，可以在请求处理之前或之后执行自定义代码。例如，要在请求处理之前检查用户是否已经认证，可以使用 isAuthenticated() 中间件：

app.get('/dashboard', 
  passport.authenticate('local', { failureRedirect: '/login' }),
  function(req, res) {
    res.render('dashboard');
  });

在上面的代码中，我们定义了一个路由，该路由使用了 isAuthenticated() 中间件来检查用户是否已经认证。如果用户已经认证，则可以访问 dashboard 页面；否则将重定向到登录页面。

自定义回调函数

在进行用户认证时，passport 默认使用一个简单的回调函数来处理认证结果。如果您需要更复杂的处理逻辑，可以定义自己的回调函数。例如，要在认证通过后将用户对象保存到数据库中，可以这样做：

-- -------------------- ---- -------
------------------ ------------- ---- ----- -
  ------------------------------ ------------- ----- ----- -
    -- ----- - ------ ---------- -
    -- ------- - ------ ----------------------- -
    --------------- ------------- -
      -- ----- - ------ ---------- -
      ------------- ---- ------- -- - ---------- ---------- -- ------------- -
        -- ----- - ------ ---------- -
        ------ ---------------------------
      ---
    ---
  ------- ---- ------
---

在上面的代码中，我们定义了一个自定义回调函数，该函数接收 err、user 和 info 三个参数。在回调函数中，我们首先检查是否有错误或用户未通过认证。如果认证通过，我们将用户对象存储到会话中，并将其保存到数据库中，然后重定向到 dashboard 页面。

示例代码

最后，我们提供一些示例代码，以帮助您更好地理解和应用 passport。

本地用户名和密码认证

-- -------------------- ---- -------
--- -------- - --------------------
--- ------------- - -----------------------------------

---------------- --------------
  ------------------ --------- ----- -
    -- -----------
    -- --------- --- ------- -- -------- --- -------- -
      ------ ---------- - --------- ------- ---
    - ---- -
      ------ ---------- ------ - -------- ---------- -------- -- ---------- ---
    -
  -
---

------------------
  ------------------------------ - ---------------- ---- ---------------- -------- --
--

序列化和反序列化

-- -------------------- ---- -------
------------------------------------- ----- -
  ---------- ---------
---

------------------------------------- ----- -
  ----------------- ------------- ----- -
    --------- ------
  ---
---

中间件

app.get('/dashboard', 
  passport.authenticate('local', { failureRedirect: '/login' }),
  function(req, res) {
    res.render('dashboard');
  });

自定义回调函数

-- -------------------- ---- -------
------------------ ------------- ---- ----- -
  ------------------------------ ------------- ----- ----- -
    -- ----- - ------ ---------- -
    -- ------- - ------ ----------------------- -
    --------------- ------------- -
      -- ----- - ------ ---------- -
      ------------- ---- ------- -- - ---------- ---------- -- ------------- -
        -- ----- - ------ ---------- -
        ------ ---------------------------
      ---
    ---
  ------- ---- ------
---

结论

在本文中，我们深入探讨了 Node.js 中的 passport 认证授权库。我们介绍了 passport 的工作原理和用法，并提供了一些示例代码来帮助您更好地理解和应用 passport。passport 是一个非常强大和灵活的库，它可以帮助您轻松地实现各种用户认证和授权方案，从而提高您的 Web 应用程序的安全性和可靠性。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/676b6ae778388e33bb2269af