我的NodeJS学习之路7（权限认证）

小弟初涉node领域，不足之处，还请多多指教！ 欢迎Star、Fork：https://github.com/gefangshuai/ANodeBlog

本文来介绍系统中用到的权限认证的知识。

首先简单介绍一下passportjs。 Passport做登录验证具有：灵活性、模块化、丰富的中间件等特点，更加详细的介绍请参考：http://idlelife.org/archives/808

如何在项目中使用passport？

注意：关于passport的配置信息要放置在app.js所有的路由请求上面，这样才能对所有的路由进行过滤。

1. 安装集成

npm install passport --save

我们还用到了本地验证策略，所以将passport-local一起安装

npm install passport-local --save

2. 配置passport

1. 在项目中引用

var passport = require('passport');
var LocalStrategy = require('passport-local').Strategy;

1. 对策略进行配置

passport.use(new LocalStrategy(callback_function)));

**callback_function: ** 三个参数分别是：username、password、done。

• username：需要验证的“用户名”
• password：需要验证的“密码”
• done： 对验证结果的处理方法

username和password默认对应表单的name="username"和name="password"，也可以自己定义表单的名字，比如：

passport.use(new LocalStrategy({
    usernameField: 'email',
    passwordField: 'passwd'
  },
  function(username, password, done) {
    // ...
  }
));

关于done函数：

• 处理成功，return done(null, user)
• 处理失败return done(err)或者return done(null, false)或者return done(null, false, { message: 'Incorrect password.' })

1. 对Session进行序列化和反序列化 序列化： 即：将唯一的值（如登录用户的id）序列化到session中，即sessionID，同时它将作为凭证存储在用户cookie中。

passport.serializeUser(function (user, done) {
    done(null, user.id);
});

反序列化： 即：根据存在的sessionID，从数据库中查询user并存储与req.user中。

passport.deserializeUser(function (id, done) {
    done(null, id);
});

做完以上三步，就已经简单地将passport集成在项目中了。

3. 做登录处理

在处理登陆请求的路由中，加入登录处理的配置信息，然后passport会自动帮你处理是否登录成功（有点类似shiro）。

router.post('/login', passport.authenticate('local', options),  success_callback);

options可以定义的参数：

• session：Boolean。设置是否需要session，默认为true
• successRedirect：String。设置当验证成功时的跳转链接
• failureRedirect：String。设置当验证失败时的跳转链接
• failureFlash：Boolean or String。设置为Boolean时，express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。
• successFlash：Boolean or String。使用方法同上。

success_callback：验证成功后做的处理，可以是登录成功后的跳转等等。

4. 在方法中使用校验

使用其实很简单，passport扩展了http request默认提供了一些内置方法：

• request.logIn(user, options, callback)： 将登录用户存入session。

req.logIn(user, function(err) {
  if (err) { return next(err); }
  return res.redirect('/users/' + user.username);
});

这样，就可以通过req.user获取user对象了

• request.logOut()：退出登录用户，删除session信息。
• request.isAuthenticated()：判断当前请求的用户是否已授权（已登录），返回true或false
• request.isUnauthenticated()：跟request.isAuthenticated()相反。

有了上面的知识，我们就可以统一进行验证了。 如：对于后台管理的模块，必须登录用户才能有权限，所以可以对后台管理的所有路由进行拦截，为了方便我们可以自定义一个中间件来统一进行处理：验证通过，继续；验证不通过，跳回到登录页面，并告知需要登陆。

5. 封装验证中间件：（authority.js）

module.exports = {
    /**
     * 登陆权限验证
     */
    isAuthenticated: function (req, res, next) {
        if(req.isAuthenticated()) {
            return next();
        }else{
            req.flash(config.constant.flash.error, '请先登录!');
            res.redirect('/login')
        }
    }
};

6. 统一对路由进行过滤

app.use('/dashboard', authority.isAuthenticated, require('./routes/dashboard'));
app.use('/dashboard/p', authority.isAuthenticated, require('./routes/dashboard-p'));
app.use('/dashboard/u', authority.isAuthenticated, require('./routes/dashboard-u'));

关于passport-local的实用实例，在官方wiki有给出，可以做一下参考。