备案控制台
探索云世界
开发者社区 安全 文章 正文

基于Node的PetShop,oauth2认证RESTful API

2017-11-01 1518
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

前篇 - 基本认证,用户名密码
后篇 - OAuth2 认证

前文使用包passport实现了一个简单的用户名、密码认证。本文改用oauth2来实现更加安全的认证。全部代码在这里

OAUTH2

用户认证,只使用用户名、密码还是非常基础的认证方式。现在RESTful API认证最多使用的是oauth2。使用oauth2就需要使用https,并hash处理client secret、auth code以及access token。

oauth2需要使用包oauth2orize:

npm install --save oauth2orize

首先看看oauth2的认证时序图:
图片来自oracle

仔细看图发现我们现在的代码并不足以支撑oauth2认证。我们还需要一个UI界面供用户输入用户名、密码产生authorization code和access token。

UI界面

目前为止,还没有使用过任何的界面。我们现在添加一个简单的页面。用户可以允许活拒绝application client访问他们账户的请求。

Express可以使用的界面模板是很多的:jade、handlebars、ejs等。我们使用ejs。安装ejs:

npm install --save ejs

server.js中设置Express,让Express可以解析ejs模板:

var ejs                 = require('ejs');
...

// 创建一个express的server
var app = express();

app.set('view engine', 'ejs');

...

在目录petshop/server/下添加一个文件夹views。在目录中添加文件dialog.ejs

<!DOCTYPE html>
<html>
  <head>
    <title>Beer Locker</title>
  </head>
  <body>
    <p>Hi <%= user.username %>!</p>
    <p><b><%= client.name %></b> is requesting <b>full access</b> to your account.</p>
    <p>Do you approve?</p>

    <form action="/api/oauth2/authorize" method="post">
      <input name="transaction_id" type="hidden" value="<%= transactionID %>">
      <div>
      <input type="submit" value="Allow" id="allow">
      <input type="submit" value="Deny" name="cancel" id="deny">
      </div>
    </form>

  </body>
</html>

使用Session

oauth2orize需要用到session。只有这样才能完成认证过程。首先安装session依赖包express-session

npm install --save express-session

接下来是如何使用这个包。更新server.js文件:

var session             = require('express-session');

...

app.use(bodyParser.urlencoded({
    extended: true
}));

app.use(session({
    secret: 'a4f8071f-4447-c873-8ee2',
    saveUninitialized: true,
    resave: true
}));

...

Application client的model和controller

首先,我们需要添加一个新的model和一个controller,然后再创建一个application client方便以后使用。一个application client会请求一个用户的账户。比如,有这么一个服务可以替你管理你的宠物。在狗粮不够的时候通知你。

model

var mongoose = require('mongoose');

var clientSchema = new mongoose.Schema({
    name: {type: String, unique: true, required: true},
    id: {type: String, required: true},
    secret: {type: String, required: true},
    userId: {type: String, required: true}
});

module.exports = mongoose.model('client', clientSchema);

name就是用来区分不同的application client的。idsecret会在后面的oauth2认证过程中使用。这两个字段的值应该一直都保证是加密的,不过在本文中没有做加密处理。产品环境必须加密。最后的userId用来表明哪个用户拥有这个application client。接下来创建client对应的controller。

controller

var Client = require('../models/client');

var postClients = function(req, res) {
    var client = new Client();

    client.name = req.body.name;
    client.id = req.body.id;
    client.secret = req.body.secret;
    client.userId = req.user._id;

    client.save(function(err) {
        if (err) {
            res.json({message: 'error', data: err});
            return;
        }

        res.json({message: 'done', data: client});
    });

};

var getClients = function(req, res) {
    Client.find({userId: req.user._id}, function(err, clients) {
        if (err) {
            res.json({messag: 'error', data: err});
            return;
        }

        res.json({message: 'done', data: clients});
    });
};

module.exports = {postClients: postClients,
        getClients: getClients
    };

这两个方法可以用来添加新的client和获取某用户的全部的client。

修改server.js

var clientController    = require('./controllers/client');

...

// 处理 /clients
router.route('/clients')
    .post(authController.isAuthenticated, clientController.postClients)
    .get(authController.isAuthenticated, clientController.getClients);
    
...

下面使用Postman来创建一个application client。

认证Application client

前文中,我们已经可以使用用户名和密码来验证用户了。下面就来验证application client。

更新原来的basic认证

controllers里打开auth.js。更新这个文件, 添加一个新的认证strategy:

passport.use('client-basic', new BasicStrategy(
    function(username, password, done) {
        Client.findOne({id: username}, function(err, client) {
            if (err) {
                return done(err);
            }

            if (!client || client.secret !== password) {
                return done(null, false);
            }

            return done(null, client);
        });
    }
));

module.exports.isClientAuthenticated = passport.authenticate('client-basic', {session: false});

我们新增了一个BasicStrategy,之所以可以这样就是应为我们给这个strategy指定了一个名称client-basic

这个strategy的功能是用给定的clientId来查找一个client,并检查password(client的secret)是否正确。

Authorization code

我们还需要创建一个model来存放authorization code。这个authorizention code用来来获取access token。

现在我们在models目录下创建一个code.js文件。代码如下:

var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var codeSchema = new Schema({
    value: {type: String, required: true},
    redirectUri: {type: String, required: true},
    userId: {type: String, required: true},
    clientId: {type: String, required: true}
});

module.exports = mongoose.model('code', codeSchema);

很简单对吧。value是用来存放authorization code的。redirectUri用来存放跳转的uri,稍后会详细介绍。clientIduserId用来存放哪个用户和哪个application client拥有这个authorization code。为了安全考虑,你可以hash了authorization code

Access token

这里也需要我们来创建一个model来存放access token。在models目录下添加一个token.js文件:

var mongoose = require('mongoose');
var Schema = mongoose.Schema;

var tokenSchema = new Schema({
    value: {type: String, required: true},
    userId: {type: String, required: true},
    clientId: {type: String, required: true}
});

module.exports = mongoose.model('token', tokenSchema);

用户访问api的时候使用的token就是value字段的值。userIdclientId就是用来表明哪个用户和application client拥有这个token。产品环境下最好把token做hash处理,绝对不要想我们的例子一样使用明文

使用access token来验证

我们之前已经添加了第二个BasicStrategy,这样就可以验证client发出的请求。现在我们在新建一个BearerStrategy,这样我们就可以验证用户使用oauth的token发出的请求了。

首先安装依赖包passport-http-bearer

npm install passport-http-bearer --save

更新controllers/auth.js文件。在这个文件中require passport-http-bearer包和Token model。

var passport            = require('passport'),
    BasicStrategy       = require('passport-http').BasicStrategy,
    BearerStrategy      = require('passport-http-bearer').Strategy,

    User                = require('../models/user'),
    Client              = require('../models/client'),
    Token               = require('../models/token');

passport.use(new BearerStrategy(
    function(accessToken, done) {
        Token.findOne({value: accessToken}, function (err, token) {
            if (err) {
                return done(err);
            }

            if (!token) {
                return done(null, false);
            }

            User.findOne({_id: token.userId}, function (err, user) {
                if (err) {
                    return done(err);
                }

                if (!user) {
                    return done(null, false);
                }

                done(null, user, {scope: '*'});
            });
        });
    }
));

...

module.exports.isBearerAuthenticated = passport.authenticate('bearer', {session: false});

新的strategy允许我们接受application client发出的请求,并使用发送过来的token验证这些请求。

创建OAuth2 controller

现在正式进入oauth2的开发阶段。首先安装oauth2orize包:

npm install --save oauth2orize

接下来在controllers里创建一个oauth2.js文件。接下来在这个写代码。

var oauth2orize     = require('oauth2orize'),
    User            = require('../models/user'),
    Client          = require('../models/client'),
    Token           = require('../models/token'),
    Code            = require('../models/code');

创建OAuth2 server

// 创建一个OAuth 2.0 server
var server = oauth2orize.createServer();

注册序列化反序列化方法

server.serializeClient(function(client, callback) {
    return callback(null, client._id);
});

server.deserializeClient(function(id, callback) {
    Client.findOne({_id: id}, function (err, client) {
        if (err) {
            return callback(err);
        }

        return callback(null, client);
    });
});

注册authorization code许可类型

server.grant(oauth2orize.grant.code(function(client, redirectUri, user, ares, callback) {
    var code = new Code({
        value: uid(16),
        clientId: client._id,
        redirectUri: redirectUri,
        useId: user._id
    });

    code.save(function(err) {
        if (err) {
            return callback(err);
        }

        callback(null, code.value);
    });
}));

使用oauth2.0,用户可以指定application client可以访问哪些被保护的资源。其过程概括起来就是用户授权client application,之后client再用用户许可换取access token。

使用autho code交换access token

server.exchange(oauth2orize.exchange.code(function(client, code, redirectUri, callback) {
    Code.findOne({value: code}, function (err, authCode) {
        if (err) {return callback(err);}
        if (authCode === undefined) {return callback(null, false);}
        if (client._id.toString() !== authCode.clientId) {return callback(null, false);}
        if (redirectUri !== authCode.redirectUri) {return callback(null, false);}

        authCode.remove(function (err) {
            if (err) {return callback(err);}

            var token = new token({
                value: uid(256),
                clientId: authCode.clientId,
                userId: authCode.userId
            });

            token.save(function (err) {
                if (err) {
                    return callback(err);
                }

                callback(null, token);
            });
        });
    });
}));

上面的代码就完成了authorization code交换access token的过程。首先检查是否存在一个authorization code,如果存在则开始以后的验证过程。在前面的步骤全部通过的时候,删除已存在的authorization code,这样就不能再次使用。并创建一个新的access token。这个token和application client以及用户绑定在一起。最后存入MongoDB。

用户给终端授权

module.exports.authorization = [
    server.authorization(function(clientId, redirectUri, callback) {
        Client.findOne({id: clientId}, function(err, client) {
            if (err) {return callback(err);}

            return callback(null, client, redirectUri);
        });
    }),
    function(req, res) {
        res.render('dialog', {transationID: req.oauth2.transactionID, user: req.user, client: req.oauth2.client});
    }
];

这个终端初始化了一个新的授权事务。这个事务里首先找到访问用户账户的client,然后渲染我们前面创建的dialog视图。

用户决定是否授权

module.exports.decision = [server.decision()];

无论用户同意或拒绝授权,都有server.decision()来处理。之后调用server.grant()方法。这个方法我们在前面已经创建好。

application client token

module.exports.token = [
    server.token(),
    server.errorHandler()
];

这段代码用来处理用户授权application client之后的请求。

生成唯一编号的util方法

function uid(len) {
    var buf = [],
        chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789',
        charlen = chars.length;

    for (var i = 0; i < len; i++){
        buf.push(chars[getRandomInt(0, charlen - 1)]);
    }

    return buf.join('');
}

function getRandomInt(min, max) {
    return Math.floor(Math.random() * (max - min + 1)) + min;
}

给OAuth2终端添加路由

现在我们可以给oauth2添加路由了。现在来更新server.js代码,给这些终端添加必要的路由。

var oauth2Controller    = require('./controllers/oauth2');

...

router.route('/oauth2/authorize')
    .post(authController.isAuthenticated, oauth2Controller.authorization)
    .get(authController.isAuthenticated, oauth2Controller.decision);

router.route('/oauth2/token')
    .post(authController.isClientAuthenticated, oauth2Controller.token);

给API终端的access token授权

在这一步,oauth2 server需要的全部“工具”都有了。最后一步,需要我们更新一下需要授权的终端(endpoint)。现在我们使用BasicStrategy来认证的,这主要需要用户名和密码。我们现在要换用BearerStrategy来使用access token认证。

把文件controllers/auth.jsmodule.exports.isAuthenticated语句修改为可以使用basic或者bearer策略。

module.exports.isAuthenticated = passport.authenticate(['basic', 'bearer'], {session: false});

这已修改,认证就会使用用户名、密码和access token两个了。

使用OAuth2

代码好多。赶紧试试效果。在浏览器中输入url:http://localhost:3090/api/oauth2/authorize?client_id=my_id&response_type=code&redirect_uri=http://localhost:3090。**注意**:client_id的值是我前面用postman添加的一个,你需要改成你自己的client_id
20160701232848111

如果你选择了allow(同意),那么就会显示下面的界面:
20160701233014780

最后

oauth2orize是一个很强的库,开发一个oauth2 server简单了很多。

欢迎加群互相学习,共同进步。QQ群:iOS: 58099570 | Android: 572064792 | Nodejs:329118122 做人要厚道,转载请注明出处!






















本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/sunshine-anycall/p/5634556.html ,如需转载请自行联系原作者

文章标签:
API
数据安全/隐私保护
关键词:
Restful API
API restful
API认证
node.js API
node restful API
桃子红了呐
目录
相关文章
桃李春风一杯酒
|
8天前
|
安全 Java API
RESTful API设计与实现:Java后台开发指南
【4月更文挑战第15天】本文介绍了如何使用Java开发RESTful API,重点是Spring Boot框架和Spring MVC。遵循无状态、统一接口、资源标识和JSON数据格式的设计原则,通过创建控制器处理HTTP请求,如示例中的用户管理操作。此外,文章还提及数据绑定、验证、异常处理和跨域支持。最后,提出了版本控制、安全性、文档测试以及限流和缓存的最佳实践,以确保API的稳定、安全和高效。
桃李春风一杯酒
18 1
桃李春风一杯酒
|
11天前
|
小程序 前端开发 API
小程序全栈开发中的RESTful API设计
【4月更文挑战第12天】本文探讨了小程序全栈开发中的RESTful API设计,旨在帮助开发者理解和掌握相关技术。RESTful API基于REST架构风格,利用HTTP协议进行数据交互,遵循URI、客户端-服务器架构、无状态通信、标准HTTP方法和资源表述等原则。在小程序开发中,通过资源建模、设计API接口、定义资源表述及实现接口,实现前后端高效分离,提升开发效率和代码质量。小程序前端利用微信API与后端交互,确保数据流通。掌握这些实践将优化小程序全栈开发。
桃李春风一杯酒
23 0
桃李春风一杯酒
|
20天前
|
前端开发 Java API
构建RESTful API:Java中的RESTful服务开发
【4月更文挑战第3天】本文介绍了在Java环境中构建RESTful API的重要性及方法。遵循REST原则,利用HTTP方法处理资源,实现CRUD操作。在Java中,常用框架如Spring MVC简化了RESTful服务开发,包括定义资源、设计表示层、实现CRUD、考虑安全性、文档和测试。通过Spring MVC示例展示了创建RESTful服务的步骤,强调了其在现代Web服务开发中的关键角色,有助于提升互操作性和用户体验。
桃李春风一杯酒
24 2
构建RESTful API:Java中的RESTful服务开发
东方睿赢
|
24天前
|
XML JSON 安全
谈谈你对RESTful API设计的理解和实践。
RESTful API是基于HTTP协议的接口设计,通过URI标识资源,利用GET、POST、PUT、DELETE等方法操作资源。设计注重无状态、一致性、分层、错误处理、版本控制、文档、安全和测试,确保易用、可扩展和安全。例如,`/users/{id}`用于用户管理,使用JSON或XML交换数据,提升系统互操作性和可维护性。
东方睿赢
18 4
mrq4nk6ni2neg
|
26天前
|
安全 API 开发者
构建高效可扩展的RESTful API服务
在数字化转型的浪潮中,构建一个高效、可扩展且易于维护的后端API服务是企业竞争力的关键。本文将深入探讨如何利用现代后端技术栈实现RESTful API服务的优化,包括代码结构设计、性能调优、安全性强化以及微服务架构的应用。我们将通过实践案例分析,揭示后端开发的最佳实践,帮助开发者提升系统的响应速度和处理能力,同时确保服务的高可用性和安全。
mrq4nk6ni2neg
26 3
SarPro
|
2月前
|
Web App开发 缓存 JavaScript
【安装指南】nodejs下载、安装与配置详细教程
这篇博文详细介绍了 Node.js 的下载、安装与配置过程,为初学者提供了清晰的指南。读者通过该教程可以轻松完成 Node.js 的安装,了解相关配置和基本操作。文章首先介绍了 Node.js 的背景和应用场景,随后详细说明了下载安装包、安装步骤以及配置环境变量的方法。作者用简洁明了的语言,配以步骤图示,使得读者能够轻松跟随教程完成操作。总的来说,这篇文章为初学者提供了一个友好的入门指南,使他们能够顺利开始使用 Node.js 进行开发。
SarPro
175 1
【安装指南】nodejs下载、安装与配置详细教程
童小纯
|
2月前
|
消息中间件 Web App开发 JavaScript
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)
童小纯
74 0
童小纯
|
3月前
|
JavaScript 前端开发 API
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)(下)
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)
童小纯
35 0
童小纯
|
3月前
|
消息中间件 Web App开发 JavaScript
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)(上)
Node.js【简介、安装、运行 Node.js 脚本、事件循环、ES6 作业队列、Buffer(缓冲区)、Stream(流)】(一)-全面详解(学习总结---从入门到深化)
童小纯
42 0
小吴吴吴呀
|
16天前
|
JavaScript Windows
NodeJS 安装及环境配置
NodeJS 安装及环境配置
小吴吴吴呀
22 1

热门文章

最新文章

  • 1
    免费使用Kimi的API接口,kimi-free-api真香
  • 2
    【C/C++ 数据库 sqlite3】SQLite C语言API返回值深入解析
  • 3
    RESTful API设计与实现:Java后台开发指南
  • 4
    谈谈你对RESTful API设计的理解和实践。
  • 5
    Java 学习路线:基础知识、数据类型、条件语句、函数、循环、异常处理、数据结构、面向对象编程、包、文件和 API
  • 6
    怎样获取当当网dangdang商品详情 API 返回值说明?
  • 7
    如何获得阿里巴巴中国站店铺的所有商品 API 返回值说明
  • 8
    如何获取易贝EBAY商品详情 API 返回值说明?
  • 9
    阿里云微服务引擎及 API 网关 2024 年 3 月产品动态
  • 10
    实战篇:商品API接口在跨平台销售中的有效运用与案例解析
  • 1
    ❤Nodejs 第六章(操作本地数据库前置知识优化)
    12
  • 2
    ❤Nodejs 第四章(操作本地数据库实现删除-源码地址已开放)
    22
  • 3
    node.js 删除某个目录下所有的文件夹
    9
  • 4
    node.js输入项目目录结构并展示
    3
  • 5
    node.js递归拼凑成树形结构
    9
  • 6
    node.js之第一天学习
    13
  • 7
    ❤Nodejs 第二章(Node连接本地数据库)
    23
  • 8
    【Node系列】node中的流(Stream)
    22
  • 9
    【Node系列】node工具模块
    21
  • 10
    【Node系列】Express 框架
    31

    • 相关课程

    更多
  • 体验-K8S API 基础及Pod 基本应用
  • Node.js 入门与实战
  • Node.js 入门教程文档

    • 相关电子书

    更多
  • CUDA MATH API
  • API PLAYBOOK
  • 传统企业的“+互联网”-API服务在京东方的实践

    • 相关实验场景

    更多
  • 快速体验智能体API应用
  • 前端开发基础6:Node.js和LESS预编译工具
  • Elasticsearch Java API Client 开发
  • 搭建Node.js编程环境
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)