使用 Passport 和 OAuth2 + 社交网络的 NodeJS REST 身份验证

Question

我正在使用NodeJS 开发REST api。对于身份验证，我决定使用Passport。我想要真正的 RESTful api。所以这意味着我必须使用令牌而不是会话。

我想让用户使用用户名和密码登录，或者使用 Facebook、Google 和 Twitter 等社交网络。

我制作了自己的OAuth2.0 服务器，用于使用oauth2orize 模块发布Access 和Refresh tokens。所以现在我可以注册新用户，然后给他们发放令牌。 我遵循了本教程：

http://aleksandrov.ws/2013/09/12/restful-api-with-nodejs-plus-mongodb/

验证用户的路线：

// api ------------------------------------------------------------------------------------
    app.get('/api/userInfo',
        passport.authenticate('bearer', { session: false }),
        function(req, res) {
            // req.authInfo is set using the `info` argument supplied by
            // `BearerStrategy`.  It is typically used to indicate scope of the token,
            // and used in access control checks.  For illustrative purposes, this
            // example simply returns the scope in the response.
            res.json({ user_id: req.user.userId, name: req.user.username, scope: req.authInfo.scope })
        }
    );

这一切都很好。不幸的是，我不知道如何实现社交身份验证。

我正在阅读本教程：

http://scotch.io/tutorials/javascript/easy-node-authentication-facebook 

但在本教程中，他们并没有制作真正的 RESTful api。我已经根据本教程实现了用户模式，其中本地用户的令牌存储在单独的模型中。

// define the schema for our user model
var userSchema = mongoose.Schema({
    local: {
        username: {
            type: String,
            unique: true,
            required: true
        },
        hashedPassword: {
            type: String,
            required: true
        },
        created: {
            type: Date,
            default: Date.now
        }
    },
    facebook: {
        id: String,
        token: String,
        email: String,
        name: String
    },
    twitter: {
        id: String,
        token: String,
        displayName: String,
        username: String
    },
    google: {
        id: String,
        token: String,
        email: String,
        name: String
    }
});

但是现在，我该如何验证用户呢？

passport.authenticate('bearer', { session: false }),

这只是针对我的数据库验证不记名令牌，但我如何验证社交令牌？我错过了什么吗？

Answer 1

护照的社交媒体策略取决于会话。没有一个，它们就无法发挥作用。

我遇到了同样的问题，我希望我的 REST 服务器是无状态的。

我认为有两种选择。

1. 将会话添加到您的休息服务器
2. 添加一个新的身份验证服务器，负责创建和分发令牌。

PS：您应该将其标记为护照，以便通过端口开发人员可以看到它。

Answer 2

我创建了以下架构：

var userSchema = mongoose.Schema({
    local: {
        username: String,
        password: String
    },
    facebook: {
        id: String,
        token: String,
        email: String,
        name: String
    },
    google: {
        id: String,
        token: String,
        email: String,
        name: String
    },
    token: {
        type: Schema.Types.ObjectId,
        ref: 'Token',
        default: null
    }
});

var tokenSchema = mongoose.Schema({
    value: String,
    user: {
        type: Schema.Types.ObjectId,
        ref: 'User'
    },
    expireAt: {
        type: Date,
        expires: 60,
        default: Date.now
    }
});

登录到我的网络应用程序时，我使用像 facebook/google 这样的 PassportJS 社交插件。示例：

//auth.js(router)
router.get('/facebook', passport.authenticate('facebook', {scope: ['email']}));

router.get('/facebook/callback', 
  passport.authenticate('facebook', { successRedirect: '/profile',
                                      failureRedirect: '/' }));

现在，当我想浏览我的 Web 应用程序时，我使用通过 Facebook 插件提供给我的会话身份验证。当用户想要请求 API 令牌时，他们需要登录，以便我可以将该令牌与用户关联。

所以现在用户有一个与他们关联的令牌，他们可以将其用于我的 API 的令牌身份验证。

我的 API 路由不关心或查看会话，他们只关心令牌。我通过创建一个快速路由器并使用护照的承载策略作为通往我的 API 的所有路由的中间件来做到这一点。

//api.js (router)
//router middleware to use TOKEN authentication on every API request
router.use(passport.authenticate('bearer', { session: false }));

router.get('/testAPI', function(req, res){
        res.json({ SecretData: 'abc123' });
    });

所以现在我只对我的 API 使用令牌身份验证（从不查看会话数据），并使用会话身份验证来轻松导航我的 web 应用程序。我使用会话来导航我的应用程序的示例如下所示：

//secure.js(router) - Access private but NON-API routes.
//router middleware, uses session authentication for every request
router.use(function(req, res, next){
        if(req.isAuthenticated()){
            return next();
        }
        res.redirect('/auth');
    });
//example router
router.get('/profile', function(req, res){
        res.send("Private Profile data");
    });

希望对您有所帮助！

Answer 3

如果您使用不记名令牌，您只需将唯一标识符传递给 API 的用户。这很可能在一个单一的调用中完成，可能是以登录的形式。然后，对 API 的每次调用都需要该令牌来验证数据库中是否存在令牌并更新其生存时间值。对于每个登录，您的架构中不需要单独的令牌，您需要为具有生存时间值 (TTL) 的令牌提供单独的架构

Answer 4

我正在为我自己的my Notepads app here 的 RESTful API 使用 Facebook 登录。我将应用程序启动为将用作网页的应用程序，但登录后的通信仍将通过 API。

然后我决定创建一个使用 API 的mobile version of the same app。我决定这样做：移动应用程序通过 Facebook 登录并将 facebook 用户 ID 和 FB 访问令牌发送到 API，API 调用 Facebooks 的 API 来验证这些参数，如果成功注册新用户（或登录现有的）在我的应用程序的数据库中，为该用户创建一个自定义令牌并将其返回给移动应用程序。移动应用从这里发送此自定义令牌以使用 API 对应用进行身份验证。

这里有一些代码：

API 中的 auth（使用 fbgraph npm 模块）：

var graph = require('fbgraph'),
Promise = require('bluebird')
...
Promise.promisify(graph.get);
...
var postAuthHandler = function (req, res) {
    var fbUserId = req.body.fbId,
    fbAccessToken = req.body.fbAccessToken,
    accessToken = req.body.accessToken;
    ...
    graph.setAppSecret(config.facebook.app.secret);
    graph.setAccessToken(fbAccessToken);

    var graphUser;
    var p = graph.getAsync('me?fields=id,name,picture')
        .then(function (fbGraphUser) {
            //when the given fb id and token mismatch:
            if (!fbGraphUser || fbGraphUser.id !== fbUserId) {
                console.error("Invalid user from fbAccessToken!");
                res.status(HttpStatus.FORBIDDEN).json({});
                return p.cancel();
            }

            graphUser = fbGraphUser;

            return User.fb(fbUserId);
        })
        .then(function (user) {
            if (user) {
                //user found by his FB access token
                res.status(HttpStatus.OK).json({accessToken: user.accessToken});
                //stop the promises chain here
                return p.cancel();
            }
            ...create the user, generate a custom token and return it as above...

https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/6617a5cb418ba8acd6351ef9a9f69228f1047154/src/routes/users.js#L46.

用户模型：

var userSchema = new mongoose.Schema({
    facebookId: { type: String, required: true, unique: true },
    accessToken: { type: String, required: true, unique: true },
    name: { type: String, required: true },
    photo: { type: String, required: true },
    categories: [{ type: mongoose.Schema.Types.ObjectId, ref: 'Category' }],
    notepads: [{ type: mongoose.Schema.Types.ObjectId, ref: 'Notepad' }]
});

https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/master/src/models/user.js#L9.

移动应用中的 Facebook 身份验证：

               auth: function(fbId, fbAccessToken) {
                return $http({
                    url: apiBase + '/users/auth',
                    data: {
                        fbId: fbId,
                        fbAccessToken: fbAccessToken
                    },
                    method: 'POST',
                    cache: false
                });
            },
            ...

https://github.com/iliyan-trifonov/notepads-ionic/blob/master/www/js/services.js#L33.

移动应用程序随请求发送令牌：

  notepads: {
            list: function() {
                return $http({
                    url: apiBase + '/notepads?insidecats=1' + '&token=' + User.get().accessToken/*gets the token from the local storage*/,
                    method: 'GET',
                    cache: false
                });
            },

这是一个 Ionic/Angular/Cordova 应用程序。从移动应用程序登录 Facebook 会启动您手机上安装的 Facebook 应用程序或打开一个弹出窗口以登录 Facebook。然后回调将 Facebook 用户的 id 和访问令牌返回到我的移动应用程序。

fbgraph npm 模块：https://github.com/criso/fbgraph