如何使用Passport保护路线终点?
我想build立用户身份validation到我的简单的Node.js应用程序使用教程在这里: http : //code.tutsplus.com/tutorials/authenticating-nodejs-applications-with-passport–cms-21619
它在保护应用程序主页方面效果很好,因此只有在login后才能访问它,但是我很难将REST端点限制为仅login用户。 正如在使用邮递员,我仍然可以调用没有任何身份validation的端点。
在我的路线中,我有以下几点:
var express = require('express'); var router = express.Router(); // if the user is authenticated var isAuthenticated = function (req, res, next) { if (req.isAuthenticated()) return next(); res.json("not authenticated"); } /* * GET carlist. */ router.get('/carlist', isAuthenticated, function(req, res) { var db = req.db; var collection = db.get('carlist'); collection.find({},{},function(e,docs){ res.json(docs); }); }); 这似乎不起作用,即使我实际input正确的凭据,我总是返回“未经过身份validation”。 我在这里错过了什么?
编辑:
完整的代码在这里: https : //gist.github.com/tudorific/d99bc51cfbd3d9d732a3bb1b93ed7214
先谢谢您的帮助!
我想到了。 由于我使用的是LocalStrategy,IsAuthenticated方法是在会话中查找凭证,而不是在用邮递员发送的基本证书。 所以我需要创build以下新的BasicStrategy:
var passport = require('passport'); var BasicStrategy = require('passport-http').BasicStrategy; var Employer = require('../models/employer'); var bCrypt = require('bcrypt-nodejs'); passport.use(new BasicStrategy( function(username, password, done) { Employer.findOne({ username: username }, function (err, user) { if (err) { return done(err); } if (!user) { return done(null, false); } //if (!user.validPassword(password)) { return done(null, false); } if (!isValidPassword(user, password)){ return done(null, false); } return done(null, user); }); var isValidPassword = function(employer, password){ return bCrypt.compareSync(password, employer.password); } }));
然后在我的路线中使用这个策略:
router.get('/carlist', passport.authenticate('basic', function(req, res) { var db = req.db; var collection = db.get('cars'); collection.find({},{},function(e,docs){ res.json(docs); }); });
这将使用我的Postman基本authentication凭证连接到网站。
感谢Neta Meta在给OP的意见中提供的build议,我能够得出这个结果,并且阅读Passport的文档以了解这些策略之间的差异。