使用哪种护照身份验证

Question

我在我的网站中使用了几种 Passport 身份验证策略，效果很好，但是，我需要一个 Demo 或（我们可以调用 session ）通过会话 ID 自动授权用户的策略，现在我'我手动执行此操作，当用户导航到 /demo 页面时，我使用会话 ID 在数据库（mongodb）上运行查询，如果用户存在，我会使用该用户呈现页面，如果不是我创建一个。

app.get('/demo', function(req,res) {
  db.User.findOne({ 'accounts.kind': 'demo', 'accounts.sid': req.sessionID }, function(err, user) {
    if (user) {
      res.render( 'home', {
        user: user
      });
    } else {
      var user = new db.User();
      user.accounts.push({
        kind: 'demo',
        sid: req.sessionID,
        created: Date.now
      });
      req.session.userId = user._id;

      user.save(function(err) {
        if(err) { throw err; }
        res.render( 'home', {
          user: user
        });
      });
    }
  });
});

用户架构如下所示：

UserSchema = new Schema({
  uname: {type: String},
  accounts: [],
  docs:[{type:Schema.Types.ObjectId, ref:'Doc'}]
})

它可以工作，但我需要设置一个会话变量，因为这个方法没有登录用户，我的意思是请求中没有req.user，但是使用那个会话变量我可以检查用户是否是演示用户。

if (req.user) {
    userid = req.user._id.toString();
  } else {
    userid = req.session.userId;
  }

我确信有一种更优雅的方法可以使用现有的护照策略之一。我看到有passport-http、passport-anonymous 和其他几个，但我不确定应该使用哪个。

为用户创建一个数据库条目对我来说很重要。所以稍后我可以附加另一个帐户。

Answer 1

事实证明，在这种情况下创建自定义策略是不必要的。我发现官方LocalStrategy 有一个（未记录的）passReqToCallback 选项，它使您可以在验证函数中访问req 对象。你可以使用 LocalStrategy 来做各种事情，只需要改变 verify 函数：

passport.use(new LocalStrategy({
    passReqToCallback: true
}, function(req, username, password, done) {
    //now that you have req object, you can
    //probably do whatever you need to do right here
});

请注意，该函数现在接受 4 个参数 req, username, password, done，以 req 对象开头，而不是默认的 3 个。

我希望这可以为您节省一些时间，在查看 LocalStrategy 代码之前，我花了大约一个小时试图解决这个问题。

Answer 2

我可以这样解决： 定义了一个新的策略，

var passport = require('passport')
  , util = require('util');

function DemoStrategy(options, verify) {
  if (typeof options == 'function') {
    verify = options;
    options = {};
  }
  if (!verify) throw new Error('Demo Basic authentication strategy requires a verify function');

  passport.Strategy.call(this);
  this.name = 'demo';
  this._verify = verify;
}

util.inherits(DemoStrategy, passport.Strategy);

DemoStrategy.prototype.authenticate = function(req) {
  var self = this;
  this._verify( req, function(err, user) {
    if (err) { return self.error(err); }
    self.success(user);
  });
}

module.exports.Strategy = DemoStrategy;

路线：

app.get('/auth/demo', 
    passport.authenticate('demo'),
    function(req,res) { 
      res.redirect('/');
     }
  );

和 passport.use 部分：

passport.use(new DemoStrategy( 
  function(req, done) {
    console.log( 'using demo strategy, req: ', req );
    if (req.user) {
      // place code here, if we want to attach to an existing account
    } else {
      db.User.findOne({ 'accounts.kind': 'demo', 'accounts.sid': req.sessionID }, function(err, dbuser) {
        if (dbuser) {
          done(null,dbuser);
        } else {
          var user = new db.User();
          user.accounts.push({
            kind: 'demo',
            sid: req.sessionID,
            created: Date.now
          });

          user.save(function(err) {
            if(err) { throw err; }
            done(null,user);
          });
        }
      });
    }
  }
));

也许它充满了错误，并且错误处理不完整，但似乎是正确的解决方案，它已集成到备受赞赏的 passport 库中，

Answer 3

查看passport configuration 的第 4 节。这是将 session-id 放入 cookie 并在用户返回时检索数据的代码。无需策略。

passport.serializeUser(function(user, done) {
  done(null, user.id);
});

passport.deserializeUser(function(id, done) {
  User.findById(id, function (err, user) {
    done(err, user);
  });
});