Passport.js可选authentication

这是一个简单的PoC：

 var express = require('express'); var app = express(); var server = app.listen(3012); var passport = require('passport'); var LocalStrategy = require('passport-local').Strategy; app.use(passport.initialize()); passport.use(new LocalStrategy(function(username, password, done) { if (username === 'foo' && password === 'bar') { return done(null, { username : 'foo' }); } return done(null, false); })); app.get('/api', function(req, res, next) { passport.authenticate('local', function(err, user, info) { var data = { hello : 'world' }; // Only if the user authenticated properly do we include secret data. if (user) { data.secret = '3133753CR37'; } return res.send(data); })(req, res, next); }); 

它调用passport.authenticate在/api端点“手动”。 这样，您就可以更好地控制如何处理身份validation错误（在您的情况下 – 不应将其视为错误，而应视为限制输出的方式）。

以下是没有正确authentication的输出：

 $ curl 'localhost:3012/api?username=foo&password=wrong' {"hello":"world"} 

这里是：

 $ curl 'localhost:3012/api?username=foo&password=bar' {"hello":"world","secret":"3133753CR37"} 

要用作中间件：

 var middleware = function(req, res, next) { passport.authenticate('local', function(err, user, info) { req.authenticated = !! user; next(); })(req, res, next); }; app.get('/api', middleware, function(req, res, next) { var data = { hello : 'world' }; if (req.authenticated) { data.secret = '3133753CR37'; } return res.send(data); }); 

现在可能会迟到，但有一个anonymous护照战略，以准确的这一点。 这样的公共路线可以采取authentication或不authentication，但是当他们这样做，你仍然会有与authentication用户相关的所有信息。 看看这里： https : //github.com/jaredhanson/passport-anonymous