在上一节中我们实现了针对宠物的增删改查的API,在这一节中我们将使用Passport创建用户账户和身份验证。在本节中将学习如何添加用户账户,实现用户身份验证以及控制对宠物园信息的访问。
Passport
Passport 是专门为身份认证而设计的 Node.js 中间件。为了应对认证方式多种多样,包括最简单的帐号密码到各大网站提供的 API ( Facebook, Twitter, Google ),Passport 采用了一种名为策略(Strategies)的方案,也就是为每一种认证提供一个独立的策略,你需要哪一个,才加载,以保证程式的简洁性。这样的设计使 Passport 在 Node.js 的社区中大受欢迎,基本上所有主流的认证方式都有对应的策略存在。
在本节中我们将使用Basic strategy支持API接口调用时的基本认证。
User模型
首先我们增加一个模型用来存储用户,在models文件夹中新增user.js文件。
打开user.js增加下面的内容:
var mongoose = require('mongoose');
var bcrypt = require('bcrypt-nodejs'); // 密码进行加密处理
var Schema = mongoose.Schema;
// 定义用户模式
var userSchema = new Schema({
username: { type: String, unique: true, required: true },
password: { type: String, required: true }
});
// save方法调用之前执行
userSchema.pre('save', function(next) {
var self = this;
if (!self.isModified('password')) {
return next();
};
bcrypt.genSalt(5, function(err, salt) {
if (err) {
return next(err);
}
bcrypt.hash(self.password, salt, null, function(err, hash) {
if (err) {
return next(err);
}
self.password = hash;
next();
});
});
});
// 验证password
userSchema.methods.verifyPassword = function(password, callback) {
bcrypt.compare(password, this.password, function(err, match) {
if (err) {
return callback(err);
}
callback(null, match);
})
}
module.exports = mongoose.model('User', userSchema);
User Controller
在controller文件夹中增加user.js文件,在user controller
中来添加和查看用户。
// Load required packages
var User = require('../models/user');
// Create endpoint /api/users for POST
exports.postUsers = function(req, res) {
var user = new User({
username: req.body.username,
password: req.body.password
});
user.save(function(err) {
if (err)
res.send(err);
res.json({ message: 'New beer drinker added to the locker room!' });
});
};
// Create endpoint /api/users for GET
exports.getUsers = function(req, res) {
User.find(function(err, users) {
if (err)
res.send(err);
res.json(users);
});
};
更新server.js
在server.js增加新的路由
// Load required packages
...
var userController = require('./controllers/user');
...
// Create endpoint handlers for /users
router.route('/users')
.post(userController.postUsers)
.get(userController.getUsers);
通过Postman创建Post和Get请求,地址为http://localhost:3000/api/users。
Auth Controller
npm install passport --save
npm install passport-http --save
安装passport中间页件和passport-http中间件。passport-http可以为我们的API 请求提供Basic和Digest认证策略。
var passport = require('passport');
var BasicStrategy = require('passport-http').BasicStrategy;
var User = require('../models/user');
// 用于认证用户
passport.use("basic", new BasicStrategy(
function(username, password, done) {
console.log('basic authentication');
User.findOne({ username: username }, function(err, user) {
if (err) {
return done(err)
}
// 用户不存在
if (!user) {
return done(null, false, { message: "Invalid user" })
}
// 检查用户密码
user.verifyPassword(password, function(err, match) {
// 密码不匹配
if (!match) {
return done(null, false)
}
console.log(match)
// 成功
return done(null, user)
})
})
}
));
exports.isAuthenticated = passport.authenticate('basic', { session : false });
我们使用passport-http包里的基本认证策略,在BasicStrategy中我们定认一个回调,它将尝试使用提供的用户名查找用户,如果用户存在则检查用户的密码是否正确。如果验证通过,则返回这个用户。
最后一部分,导出isAuthenticated函数,这个函数告诉passport使用BasicStrategy进行身份验证。session被设置为false,告诉passport在调用我们的API之间不存储会话变量。这样用户在每次调用API时需要提交用户名和密码。
更新Server.js
更新Server.js,添加passport中间件,更新每个API接口,在每个API被调用前先调用isAuthenticated函数。
// Load required packages
...
var passport = require('passport');
var authController = require('./controllers/auth');
// 在应用中使用passport中间件
app.use(passport.initialize());
...
// 使用BasicStrategy
router.route('/pets')
.post(authController.isAuthenticated, petController.postPets)
.get(authController.isAuthenticated, petController.getPets);
router.route('/pets/:pet_id')
.get(authController.isAuthenticated, petController.getPet)
.put(authController.isAuthenticated, petController.updatePet)
.delete(authController.isAuthenticated, petController.deletePet);
router.route('/users')
.post(userController.postUsers)
.get(authController.isAuthenticated, userController.getUsers);
...
Postman测试
更新pet controller
现在我们可以对我们的API调用进行用户认证了。我们还需要在宠物的CRUD操作时确保由我们的认证用户操作。
passport的好处之一就是它会自动将认证用户设置在req.user对象中。这样我们就可以很容易的通过req.user._id来获取用户ID。
var postPets = function(req, res) {
// 创建Pet模型的一个实例
var pet = new Pet();
// 使用Post数据设置这个实例的属性
pet.name = req.body.name;
pet.type = req.body.type;
pet.quantity = req.body.quantity;
pet.userId = req.user._id;
// 保存实例并检查错误
pet.save(function(err) {
if (err) {
res.json({ message: 'error', data: err });
return;
}
res.json({ message: 'done', data: pet });
});
};
var getPets = function(req, res) {
Pet.find({ userId: req.user._id }, function(err, pets) {
if (err) {
res.json({ message: 'error', data: err });
return;
}
res.json({ message: 'done', data: pets });
});
};
var getPet = function(req, res) {
Pet.findById({ userId: req.user._id, _id: req.params.pet_id }, function(err, pet) {
if (err) {
res.json({ message: 'error', data: err });
return;
}
res.json({ message: 'done', data: pet });
});
};
var updatePet = function(req, res) {
Pet.update({ userId: req.user._id, _id: req.params.pet_id }, { quantity: req.body.quantity }, function(err, num) {
if (err) {
res.json({ message: 'error', data: err });
}
res.json({ message: ' update' })
})
};
var deletePet = function(req, res) {
Pet.remove({ userId: req.user._id, _id: req.params.pet_id }, function(err) {
if (err) {
res.json({ message: 'error', data: err });
}
res.json({ message: 'pet remove!' })
});
};
现在我们就可以添加多个用户,让每个用户添加,删除,更新和获得自己操作的宠物,而不用担心宠物的管理混乱了。下一节,我们会介绍其他三方通过OAuth2orize提供的OAuth访问我们的宠物园。
