如何使用passport.js通过RESTful API而不是通过Web界面处理身份验证(例如本地和Facebook)?
特别关注的是处理从回调到RESTful响应(JSON)的数据传递与使用典型的res.send({data:req.data}),设置重定向到Facebook的初始/登录 endpoints (/登录不能是通过AJAX访问,因为它不是JSON响应 - 它是通过回调重定向到Facebook .
我找到https://github.com/halrobertson/test-restify-passport-facebook,但我无法理解它 .
此外,passport.js如何存储身份验证凭据?服务器(或它是服务吗?)由MongoDB支持,我希望凭证(登录和盐水的pw)存储在那里,但我不知道passport.js是否具有这种类型的功能 .
3 回答
这里提出了许多问题,似乎即使问题是在Node和passport.js的背景下提出的,真正的问题更多地是关于工作流而不是如何使用特定技术来实现这一点 .
让我们使用@Keith示例设置,修改一下以增加安全性:
https://example.com上的Web服务器提供单页Javascript客户端应用程序https://example.com/api上的RESTful Web服务为富客户端应用程序提供服务器支持在Node和passport.js中实现的服务器 .
Server有一个带有"users"表的数据库(任何类型) .
用户名/密码和Facebook Connect作为身份验证选项提供
富客户端将REST请求转换为
https://example.com/api可能有其他客户端(例如,手机应用程序)在
https://example.com/api使用Web服务但在https://example.com时不知道Web服务器 .请注意,我正在使用安全HTTP . 在我看来,这是开放时可用的任何服务必须的,因为密码和授权令牌等敏感信息在客户端和服务器之间传递 .
用户名/密码验证
让我们看看普通旧身份验证的工作原理 .
用户连接到
https://example.com服务器提供丰富的Javascript应用程序,用于呈现初始页面 . 在页面中有一个登录表单 .
由于用户未登录,此单页应用程序的许多部分尚未填充数据 . 所有这些部分在"login"事件上都有一个事件侦听器 . 所有这些都是客户端的东西,服务器不知道这些事件 .
用户输入他/她的登录名和密码并点击提交按钮,该按钮触发Javascript处理程序以在客户端变量中记录用户名和密码 . 然后这个处理程序触发"login"事件 . 同样,这是所有客户端操作, credentials were not sent to the server yet .
调用"login"事件的侦听器 . 现在,每个都需要在
https://example.com/api向RESTful API发送一个或多个请求,以获取要在页面上呈现的用户特定数据 . 他们发送给Web服务的每个请求都将包含用户名和密码,可能采用HTTP Basic身份验证的形式,因为不允许RESTful服务将客户端状态从一个请求维护到下一个请求 . 由于Web服务使用安全HTTP,因此密码在传输过程中会被安全加密 .https://example.com/api处的Web服务收到大量单独的请求,每个请求都带有身份验证信息 . 根据用户数据库检查每个请求中的用户名和密码,如果发现正确,则执行所请求的功能,并以JSON格式将数据返回给客户端 . 如果用户名和密码不匹配,则会以401 HTTP错误代码的形式将错误发送到客户端 .而不是强制客户端为每个请求发送用户名和密码,您可以在RESTful服务中使用"get_access_token"函数,该函数获取用户名和密码并使用令牌进行响应,这是某种加密哈希,它是唯一的并且具有一些到期日期与之相关 . 这些令牌与每个用户一起存储在数据库中 . 然后客户端在后续请求中发送访问令牌 . 然后将针对数据库而不是用户名和密码验证访问令牌 .
非浏览器客户端应用程序(如手机应用程序)执行与上述相同的操作,他们要求用户输入他/她的凭据,然后向Web服务发送每个请求(或从其生成的访问令牌) .
这个例子的重要一点是 RESTful web services require authentication with every request .
除了用户身份验证之外,此方案中的附加安全层还将添加客户端应用程序授权 . 例如,如果您拥有使用Web服务的Web客户端,iOS和Android应用程序,您可能希望服务器知道给定请求的三个客户端中的哪一个,而不管经过身份验证的用户是谁 . 这可以使您的Web服务将某些功能限制为特定客户端 . 为此你可以使用API密钥和秘密,有关一些想法,请参阅this answer那 .
Facebook身份验证
上面的工作流程不适用于Facebook连接,因为通过Facebook登录有第三方,Facebook本身 . 登录程序要求用户被重定向到Facebook的网站,其中凭据在我们的控制之外输入 .
让我们看看事情是如何变化的:
用户连接到
https://example.com服务器提供丰富的Javascript应用程序,用于呈现初始页面 . 在页面中有一个登录表单,其中包含一个"Login with Facebook"按钮 .
用户单击"Login with Facebook"按钮,该按钮只是重定向到(例如)
https://example.com/auth/facebook的链接 .https://example.com/auth/facebook路线由passport.js处理(见documentation)所有用户看到的是页面更改,现在他们在Facebook托管页面中,他们需要登录并授权我们的Web应用程序 . 这完全超出了我们的控制范围 .
用户登录Facebook并授予我们的应用程序权限,因此Facebook现在重定向回我们在passport.js设置中配置的回调URL,后面的示例在documentation中是
https://example.com/auth/facebook/callbackhttps://example.com/auth/facebook/callback路由的passport.js处理程序将调用回调函数,该函数接收来自Facebook的Facebook访问令牌和一些用户信息,包括用户的电子邮件地址 .通过电子邮件,我们可以在我们的数据库中找到用户并使用它存储Facebook访问令牌 .
你在Facebook回调中做的最后一件事是重定向回富客户端应用程序,但这次我们需要将用户名和访问令牌传递给客户端,以便它可以使用它们 . 这可以通过多种方式完成 . 例如,可以通过服务器端模板引擎将Javascript变量添加到页面中,否则可以使用此信息返回cookie . (感谢@RyanKimber指出了在URL中传递此数据的安全问题,正如我最初建议的那样) .
所以现在我们再次启动单页面应用程序,但客户端具有用户名和访问令牌 .
客户端应用程序可以立即触发"login"事件,并让应用程序的不同部分从Web服务请求所需的信息 .
发送到
https://example.com/api的所有请求都将包含用于身份验证的Facebook访问令牌,或者通过REST API中的"get_access_token"功能包含应用程序's own access token generated from Facebook'令牌 .这里的非浏览器应用程序有点困难,因为OAuth需要Web浏览器才能登录 . 要从手机或桌面应用程序登录,您需要启动浏览器才能重定向到Facebook,更糟糕的是,您需要一种方法让浏览器通过某种机制将Facebook访问令牌传递回应用程序 .
我希望这能回答大部分问题 . 当然,您可以使用Twitter,Google或任何其他基于OAuth的身份验证服务替换Facebook .
我有兴趣知道是否有人有更简单的方法来解决这个问题 .
我非常感谢@ Miguel对每个案例的完整流程的解释,但我想在Facebook身份验证部分添加一些内容 .
Facebook提供了Javascript SDK,您可以使用它直接在客户端获取访问令牌,然后将其传递到服务器并用于进一步从Facebook获取所有用户信息 . 所以你基本上不需要任何重定向 .
此外,您还可以为移动应用程序使用相同的API endpoints . 只需使用Facebook的Android / iOS SDK,在客户端获取Facebook access_token并将其传递给服务器 .
关于 stateless nature ,如上所述,当get_access_token用于生成令牌并传递给客户端时,此令牌也存储在服务器上 . 所以它和会话令牌一样好,我相信这会使它成为有状态的吗?
只需2美分..
这是一篇很棒的文章我发现可以帮助您进行身份验证:
Facebook
推特
谷歌
Local Auth
Easy Node Authentication: Setup and Local