作为匿名用户的身份验证答案

【问题标题】：Authentication as an anonymous user作为匿名用户的身份验证
【发布时间】：2017-04-28 03:39:29
【问题描述】：

我想重现 plunker 如何管理匿名帐户。

Plunker 可以识别匿名用户。例如，我们可以将 plunker 保存为anonym，然后将其保存为freeze。结果，

只有同一个用户（在清除浏览器历史记录之前）拥有对此插件的完全访问权限（例如，保存修改、解冻）。
如果同一个用户在另一个浏览器中打开它或其他用户打开同一个链接，他们不能save任何修改；他们必须fork它。

在我的网站中，我使用passport.js 的local 策略来管理命名用户。例如，

router.post('/login', function (req, res, next) {
    if (!req.body.username || !req.body.password)
        return res.status(400).json({ message: 'Please fill out all fields' });

    passport.authenticate('local', function (err, user, info) {
        if (err) return next(err);
        if (user) res.json({ token: user.generateJWT() });
        else return res.status(401).json(info);
    })(req, res, next);
});

我使用localStorage 来存储令牌。例如，

auth.logIn = function (user) {
    return $http.post('/login', user).success(function (token) {
        $window.localStorage['account-token'] = token;
    })
};

auth.logOut = function () {
    $window.localStorage.removeItem('account-token');
};

有人知道passport.js 是否有任何策略或现有工具来管理匿名帐户，就像 plunker 所做的那样？否则，有没有常规的方法来实现这一点？

【问题讨论】：

我为护照的策略匿名用户找到了项目 github，因此可以提供帮助：github.com/jaredhanson/passport-anonymous

标签： authentication login local-storage passport.js angular-local-storage

【解决方案1】：

Passport 允许匿名身份验证。有一个相同的护照匿名策略：

app.get('/',
  // Authenticate using HTTP Basic credentials, with session support disabled,
  // and allow anonymous requests.
  passport.authenticate(['basic', 'anonymous'], { session: false }),
  function(req, res){
    if (req.user) {
      res.json({ username: req.user.username, email: req.user.email });
    } else {
      res.json({ anonymous: true });
    }
  });

这使用了您的基本策略，如果您使用本地身份验证，您可以将其替换为本地策略。如果没有提供任何内容，它会退回到匿名策略，如下所示：

passport.use(new BasicStrategy({
  },
  function(username, password, done) {
    // asynchronous verification, for effect...
    process.nextTick(function () {

      // Find the user by username.  If there is no user with the given
      // username, or the password is not correct, set the user to `false` to
      // indicate failure.  Otherwise, return the authenticated `user`.
      findByUsername(username, function(err, user) {
        if (err) { return done(err); }
        if (!user) { return done(null, false); }
        if (user.password != password) { return done(null, false); }
        return done(null, user);
      })
    });
  }
));

// Use the BasicStrategy within Passport.
//   This is used as a fallback in requests that prefer authentication, but
//   support unauthenticated clients.
passport.use(new AnonymousStrategy());

完整的例子可以在这里找到：- https://github.com/jaredhanson/passport-anonymous/blob/master/examples/basic/app.js

【讨论】：

【解决方案2】：

请记住，过期日期较长的 cookie 是识别匿名用户的方式。这与任何试图通过用户名和密码验证用户身份的服务器端技术相同，然后只为 http 请求设置一个 cookie。

【讨论】：