node-jwt-simple이있는 passport-local

Question 1

성공적인 인증에서 JWT 토큰을 반환하기 위해 passport-local을 결합하려면 어떻게해야합니까?

node-jwt-simple 을 사용 하고 passport.js를 보고 싶습니다. 어떻게해야할지 모르겠습니다.

var passport = require('passport')
  , LocalStrategy = require('passport-local').Strategy;

passport.use(new LocalStrategy(
  function(username, password, done) {
    User.findOne({ username: username }, function(err, user) {
      if (err) { return done(err); }
      if (!user) {
        return done(null, false, { message: 'Incorrect username.' });
      }
      if (!user.validPassword(password)) {
        return done(null, false, { message: 'Incorrect password.' });
      }
      return done(null, user);
    });
  }
));

done ()을 호출 할 때 토큰을 반환 할 수 있습니까? 이런 것 ... (그냥 의사 코드)

if(User.validCredentials(username, password)) {
  var token = jwt.encode({username: username}, tokenSecret);
  done(null, {token : token}); //is this possible?
}

그렇지 않은 경우 토큰을 어떻게 반환 할 수 있습니까?

Question 2

나는 그것을 알아!

우선 올바른 전략을 구현해야합니다. 제 경우에는 LocalStrategy이며 유효성 검사 논리를 제공해야합니다. 예를 들어 여권 로컬에서 사용합시다.

var passport = require('passport')
  , LocalStrategy = require('passport-local').Strategy;

passport.use(new LocalStrategy(
  function(username, password, done) {
    User.findOne({ username: username }, function(err, user) {
      if (err) { return done(err); }
      if (!user) {
        return done(null, false, { message: 'Incorrect username.' });
      }
      if (!user.validPassword(password)) {
        return done(null, false, { message: 'Incorrect password.' });
      }
      return done(null, user);
    });
  }
));

제공 한 확인 콜백 function(username, password, done)은 사용자를 찾고 비밀번호가 일치하는지 확인합니다 (질문 및 내 답변의 범위를 벗어남).

passport.js는 작동하기 위해 몇 가지 부분을 기대합니다. 하나는 전략에서 사용자를 반환하는 것입니다. 코드의 해당 부분을 변경하려고했는데 잘못된 것입니다. 콜백 false은 유효성 검사가 실패하면 예상하고 object성공하면 (유효한 사용자)를 예상 합니다 .

이제 .... JWT를 통합하는 방법?

로그인 경로에서 성공적인 인증 또는 실패한 인증을 처리해야합니다. 여기에서 JWT 토큰 생성을 추가해야합니다. 이렇게 :

(세션을 비활성화하는 것을 기억하십시오. 그렇지 않으면 직렬화 및 직렬화 해제 기능을 구현해야합니다. 세션을 지속하지 않는 경우에는 필요하지 않습니다. 토큰 기반 인증을 사용하는 경우에는 그렇지 않습니다.)

여권-로컬 예에서 : (JWT 토큰이 추가됨)

// POST /login
//   This is an alternative implementation that uses a custom callback to
//   achieve the same functionality.
app.post('/login', function(req, res, next) {
  passport.authenticate('local', function(err, user, info) {
    if (err) { return next(err) }
    if (!user) {
      return res.json(401, { error: 'message' });
    }

    //user has authenticated correctly thus we create a JWT token 
    var token = jwt.encode({ username: 'somedata'}, tokenSecret);
    res.json({ token : token });

  })(req, res, next);
});

그리고 그게 다야! 이제 / login 및 POST 사용자 이름 및 암호 (항상 SSL을 통해 있어야 함)를 호출 할 때 위의 첫 번째 코드 조각은 제공 한 사용자 이름을 기반으로 사용자를 찾고 암호가 일치하는지 확인합니다 (물론 필요에 맞게 변경하십시오).

그 후 로그인 경로가 호출되고 거기에서 오류 또는 유효한 토큰을 반환 할 수 있습니다.

이것이 누군가를 도울 수 있기를 바랍니다. 실수를했거나 잊은 것이 있으면 알려주세요.

Question 3

이것은 훌륭한 솔루션입니다. 다음을 추가하고 싶습니다.

var expressJwt = require('express-jwt');

app.use('/api', expressJwt({secret: secret}));

저는 "express-jwt" 를 사용하여 토큰을 확인하고 싶습니다 .

btw :이 기사는 Angular를 사용하여 클라이언트 측에서 토큰을 처리하는 방법을 배우는 것이 좋습니다.

https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/

Question 4

다음은 특별히 api 토큰만을 사용하기 위해 작업하고있는 상용구입니다 (세션 없음 ... 물론 세션이 나쁘지 않습니다. 우리는 토큰 접근 방식을 사용하고 있습니다) : https://github.com/roblevintennis/passport -api 토큰