用NodeJS完成简单的身份验证

如今 NodeJs 已经被广泛应用，今天在这里介绍一下使用 NodeJS 实现简单的身份验证过程 -- 包括登录、注册。

本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂，而且其将源码放到 GitHub 上，运行即可。

好了。我们开始。使用 NodeJS 完成身份验证的功能，这里除了 express 之外，还需要使用 MongoDB 数据库用于保存和读取出我们的用户。请确保好在实践之前，你的机器上有 nodejs 和 MongoDB。如果没有，可以使用npm install来安装。

应用部分

• 模块依赖
• 数据库和模型
• 中间件和配置
• 辅助函数
• 页面访问路由器控制

首先，了解以下什么是 pass.js ？

在源文件中，我们使用了一个文件pass.js，用它来作为此次身份验证应用中的一个模块。用它可以来保证我们保存到数据库中的用户名和密码是经过加密的，并且可以用于验证用户输入的密码和数据库中的密码是否相同。

一、模块依赖

和很多的 NodeJS 应用一样，这里是我们的应用需要依赖的模块：

var express = require('express'),    http = require('http'),    path = require('path'),    mongoose = require('mongoose'),    hash = require('./pass').hash;var app = express();

二、数据库和模型

首先，我们需要开启我们本地的 MongoDB 服务器。在这里，我使用myapp作为我的数据库。我们指定我们的数据库架构，其中包含着用户名和密码，还有哈希加密部分。

mongoose.connect("mongodb://localhost/myapp");var UserSchema = new mongoose.Schema({    username: String,    password: String,    salt: String,    hash: String});var User = mongoose.model('users', UserSchema);

三、配置和中间件

和一般的 express 应用一样，需要配置好应用所需要使用和定义的内容项。包括session、模板引擎等。这里还有个中间件，用于处理用户登录或者注册之后回显错误信息。

app.configure(function () {    app.use(express.bodyParser());    app.use(express.cookieParser('Authentication Tutorial '));    app.use(express.session());    app.set('views', __dirname + '/views');    app.set('view engine', 'jade');});app.use(function (req, res, next) {    var err = req.session.error,          //主要代码，防止页面刷新表单重复提交        msg = req.session.success;    delete req.session.error;    delete req.session.success;    res.locals.message = '';    if (err) res.locals.message = '<p class="msg error">' + err + '</p>';    if (msg) res.locals.message = '<p class="msg success">' + msg + '</p>';    next();});

四、辅助函数

在身份验证功能中，基本上是用户输入了用户名和密码，提交到我们的服务器中，通过取到的用户名和密码和数据库中进行比较。先检测用户是否存在，如果是，则再检查密码是否正确。

function authenticate(name, pass, fn) {    if (!module.parent) console.log('authenticating %s:%s', name, pass);    User.findOne({        username: name    },    function (err, user) {        if (user) {            if (err) return fn(new Error('cannot find user'));            hash(pass, user.salt, function (err, hash) {                if (err) return fn(err);                if (hash == user.hash) return fn(null, user);                fn(new Error('invalid password'));            });        } else {            return fn(new Error('cannot find user'));        }    });}

当我们一个页面需要登录的时候才能访问时，就需要控制用户在没有登录的时候，自动跳转到登录页面去执行登录。

function requiredAuthentication(req, res, next) {    if (req.session.user) {        next();    } else {        req.session.error = 'Access denied!';        res.redirect('/login');    }}

在注册的时候，我们会校验用户注册的用户名是否已经存在数据库中，通过这个函数可以实现这个功能：

function userExist(req, res, next) {    User.count({        username: req.body.username    }, function (err, count) {        if (count === 0) {            next();        } else {            req.session.error = "User Exist"            res.redirect("/signup");        }    });}

五、页面访问路由器控制

什么是路由器控制？我觉得就是当你在浏览器访问某一个路径的时候，身份验证这个应用会决定带你去哪个页面。于是就有了访问的一些规则和路由：

• /：如果用户已经登录，则显示欢迎某某某；否则提供登录和注册的入口。
• /signup：用于注册一个新的用户。
• /login：用户的身份验证，提供登录功能。
• /profile：只有已经登录的用户才能访问自己的档案。

用户通过某一个链接地址和服务器通讯，并把服务器资源取到本地浏览器来，是一个 GET 请求。而用户提交一个表单到服务器，是一个 POST 的动作。我们需要定义好这一个过程：

//获取首页的处理app.get("/", function (req, res) {    if (req.session.user) {        res.send("Welcome " + req.session.user.username + "<br>" + "<a href='/logout'>logout</a>");    } else {        res.send("<a href='/login'> Login</a>" + "<br>" + "<a href='/signup'> Sign Up</a>");    }});//访问注册页面，判断用户是否已经登录，是则自动跳首页app.get("/signup", function (req, res) {    if (req.session.user) {        res.redirect("/");    } else {        res.render("signup");    }});//访问登录页面，输出登录表单app.get("/login", function (req, res) {    res.render("login");});//用户登出app.get('/logout', function (req, res) {    req.session.destroy(function () {        res.redirect('/');    });});//访问个人档案页面，需要登录权限控制app.get('/profile', requiredAuthentication, function (req, res) {    res.send('Profile page of '+ req.session.user.username +'<br>'+' click to <a href="/logout">logout</a>');});

在身份验证这个应用中，主要的两个表单是「登录」的表单和「注册」的表单。下面是 POST 的处理：

app.post("/signup", userExist, function (req, res) {    var password = req.body.password;    var username = req.body.username;    hash(password, function (err, salt, hash) {        if (err) throw err;        var user = new User({            username: username,            salt: salt,            hash: hash,        }).save(function (err, newUser) {            if (err) throw err;            authenticate(newUser.username, password, function(err, user){                if(user){                    req.session.regenerate(function(){                        req.session.user = user;                        req.session.success = 'Authenticated as ' + user.username + ' click to <a href="/logout">logout</a>. ' + ' You may now access <a href="/restricted">/restricted</a>.';                        res.redirect('/');                    });                }            });        });    });});app.post("/login", function (req, res) {    authenticate(req.body.username, req.body.password, function (err, user) {        if (user) {            req.session.regenerate(function () {                req.session.user = user;                req.session.success = 'Authenticated as ' + user.username + ' click to <a href="/logout">logout</a>. ' + ' You may now access <a href="/restricted">/restricted</a>.';                res.redirect('/');            });        } else {            req.session.error = 'Authentication failed, please check your ' + ' username and password.';            res.redirect('/login');        }    });});

一个简单的身份验证功能已经完成，通过NodeJS来做是不是很简单？

恩。现在还有很多很棒的身份验证应用，例如PassprotJS和EverAuth，将他们融入到这个登录模块中来，可以让更多的社会化网站用户登录和注册。