Opcjonalne uwierzytelnianie Passport.js

Question

Czy istnieje opcjonalne oprogramowanie pośredniczące do uwierzytelniania ze strony Passport.js?

Załóżmy, że mam trasę, /api/users. Chcę podać tylko listę użytkowników do wiadomości publicznej, ale do uwierzytelnionych osób, chcę dodać więcej pól.

Obecnie mam tylko głupi sposób niestandardowy, który robi to samo, ale zastanawiam się, czy:

• Passport.js przewiduje już taką rzecz lub
• jak mogę zrobić to część od paszport, jak wtyczka lub coś podobnego.

Moja metoda, z grubsza wygląda

function optionalAuth(req, res, next) { 

    var authHeader = req.headers.authorization; 
    var token = parseToken(authHeader); // just getting the OAuth token here 
    if(!token) { 

     return next(); 
    } 
    User.findOne({ 
     token: token 
    }, function(err, user) { 

     if(err) { 
      return res.json(401, {message: 'auth expired'}); 
     }; 
     if(user) { 
      req.user = user; 
     } 
     next(); 
    }); 
} 

to jednak wydaje mi się głupie, a także nie w paszporcie-auth-strategies.js lub jakaś inna warstwa auth gdzie myślę, że powinien być. Jaki jest lepszy sposób na zrobienie tego?

Dodatkowe punkty za poinformowanie mnie, czy robię właściwą rzecz powracającego 401 jeśli znajdę token, ale to nieważne :)

Answer 1

Oto prosty PoC:

var express  = require('express'); 
var app   = express(); 
var server  = app.listen(3012); 
var passport  = require('passport'); 
var LocalStrategy = require('passport-local').Strategy; 

app.use(passport.initialize()); 

passport.use(new LocalStrategy(function(username, password, done) { 
    if (username === 'foo' && password === 'bar') { 
    return done(null, { username : 'foo' }); 
    } 
    return done(null, false); 
})); 

app.get('/api', function(req, res, next) { 
    passport.authenticate('local', function(err, user, info) { 
    var data = { hello : 'world' }; 
    // Only if the user authenticated properly do we include secret data. 
    if (user) { 
     data.secret = '3133753CR37'; 
    } 
    return res.send(data); 
    })(req, res, next); 
}); 

on dzwoni passport.authenticate „ręcznie "w punkcie końcowym /api. W ten sposób uzyskasz większą kontrolę nad tym, jak radzić sobie z błędem uwierzytelniania (który - w Twojej sytuacji - nie powinien być traktowany jako błąd, ale jako sposób ograniczenia wydajności).

Oto wyjście bez odpowiedniej autoryzacji:

$ curl 'localhost:3012/api?username=foo&password=wrong' 
{"hello":"world"} 

A oto z:

$ curl 'localhost:3012/api?username=foo&password=bar' 
{"hello":"world","secret":"3133753CR37"} 

użyć jako middleware:

var middleware = function(req, res, next) { 
    passport.authenticate('local', function(err, user, info) { 
    req.authenticated = !! user; 
    next(); 
    })(req, res, next); 
}; 

app.get('/api', middleware, function(req, res, next) { 
    var data = { hello : 'world' }; 
    if (req.authenticated) { 
    data.secret = '3133753CR37'; 
    } 
    return res.send(data); 
}); 

Answer 2

może być późno, ale nie anonymous Strategia paszportowa umożliwiająca to. W ten sposób publiczne trasy mogą albo wymagać uwierzytelnienia, albo nie, ale kiedy to zrobią, nadal będziesz mieć wszystkie informacje związane z uwierzytelnionym użytkownikiem. Sprawdź to tutaj: https://github.com/jaredhanson/passport-anonymous