• [Node.js] OAuth 2 和 passport框架


    原文地址:http://www.moye.me/?p=592

    OAuth是什么

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。

    OAuth 2.0  OAuth 2

    OAuth的版本有v1.0, v1.0a 和 v2.0。OAuth 2.0 的出现主要是解决1.0+中的几个问题,提升开发简易度和应用安全性:

    • 更好的支持非浏览器APP(移动和桌面客户端,可以省略v1.0的交换token过程,增强用户体验)
    • 给访问令牌(Access-Token)添加了续期概念,对令牌泄露多了一层防御
    • 不再强制客户端使用Token Secret,有令牌就够了
    • 引入Bearer 验证机制

    OAuth 2 是目前被广泛支持的版本,但不向下兼容1.0。

    术语

    简单说,OAuth 2涉及到三方

    1. Client APP:要访问用户的程序
    2. Resource Owner :用户,由他来给APP授权
    3. Authorization Server:也称为 API Provider(Google/Facebook/Twitter…)
      1. client_id 和 client_secret:Server颁发给 APP 的身份凭证
      2. Access Token:Server颁发的令牌,访问资源API需要带着它
      3. Scope:APP 向Server 提供需要调用的API种类
      4. Redirect URL:APP 向 Server提供的回调地址

    OAuth 2 交互模型

    OAuth 2的 交互模型比较灵活,主要的交互模型分为如下几种:

    • 服务端Authorization code授权:被 Web服务端编程广泛采用,也是本文重点介绍的模型
    • 客户端隐式授权:Web客户端编程(JavaScript APP)使用这种方式交互,在用户授权后直接取到令牌
    • Resource Owner登录授权:需要用户输入用户名和密码来交换令牌
    • 客户端凭证:这种模型下,APP 可能就是Owner,代表自己进行API调用

    准备工作

    首先,开发人员需要去API Provider处,为APP 创建应用信息,申请权限,以Google为例:

    1. 在 Google Developers Console 创建项目
    2. 在 APIs & Auth -> APIs 中,选择打开需要调用的API
    3. 在 APIs & Auth -> Credentials 中,填写 Redirect URIS(OAuth 2 回调的地址),创建Client ID。成功后,会得到需要的 CLIENT ID 和 CLIENT SECRET,保存好不要泄露 :)
    4. 在 APIs & Auth -> Consent screen 中,填写 Email/ Product Name/ Homepage/ Logo等 APP元信息,这些是给用户看的,在交互过程中会出现在确认授权页

    服务端交互流程

    OAuth 2 的服务端交互流程,是一个对用户透明的三方过程:

    Server-side Web Application flow: Step-by-step

    如果用Node.js 实现前述的 Google API OAuth 2访问,编程模型大概如此:

    1. 判断是否已有 access_token,过期了吗?如果不存在或过期,一步步来:
    2. 将用户页面跳向到https://accounts.google.com/o/oauth2/auth(附上一系列Query参数:response_type/ client_id/ redirect_uri/ scope,视需要追加参数:access_type/ approval_prompt/ state…)
    3. 为 redirect_uri 提供 HTTP GET 方法的处理,以响应回调
    4. 第3步的回调会收到一个code参数,用它向 https://accounts.google.com/o/oauth2/token 发起一个 POST请求,这次需要提供的参数:code / client_id/ client_secret/ redirect_uri/ grant_type
    5. 为 第4步 的redirect_uri 提供HTTP GET 方法的处理,以响应回调
    6. 第5步的回调会收到一个 JSON对象,里面有access_token 和它的过期时间expires_in,将它存下来
    7. 访问API,附上得到的 access_token

    引入Passport

    显然,自己实现OAuth 流程将需要写不少东西,且每增加一个API Provider,这个过程需要再来一次。这行里有句黑话:写得越多,错得就越多 :)  这时候,应该找个合适的框架

    Passport 框架就是为解决类似问题而生的:它以中间件的形式为Node 程序提供身份认证,框架本身将一般形式的认证过程(Basic & Digest/ OAuth/ Open ID)、回调及错误处理进行了封装,而将具体的认证实现抽象为Strategy(策略),与框架本身并无关系,只要是符合Passport 的Strategy都能以插件的形式加入项目被Passport使用。比如基于Google的OAuth 2认证,我们可以用 passport-google-oauth,基于Facebook的OAuth 2认证我们可以用passport-facebook,当然也可以用别的或者自己写。 这种基于策略的抽象大大简化了编程模型,所以Passport 有自信称 " Simple, unobtrusive authentication for Node.js",诚不欺我。

    Passport 实现 Google 用户登录

    Google 作为具体的 API Provider,用Passport 对其进行OAuth 2访问,需要一个 Strategy 来提供它的交互流程实现,本例中使用 passport-google-oauth

    在package.json中确定引用,并用 npm install 安装模块:

    "dependencies": {
            //... more libraries
            "passport": "*",
            "passport-google-oauth": "*",
        }
     将从 Google Developers Console 获得的client_id 和 client_secret 存到配置文件中:
    {
        //...more configuration
        "GOOGLE_CLIENT_ID" : "xxxx.apps.googleusercontent.com",
        "GOOGLE_CLIENT_SECRET" : "wdsfas3_-safdsafasf",
        "GOOGLE_RETURN_URL" : "http://www.xxx.com/auth/google/return",
    }

    上篇提到的配置读取器configUtils 将能自动读取到它,结合这些实现Google OAuth 2认证(authUtils.js:

    var passport = require('passport')
        , GoogleStrategy = require('passport-google-oauth').OAuth2Strategy;
     
    var config = require('../configUtils');
     
    passport.use(new GoogleStrategy({
            authorizationURL: 'https://accounts.google.com/o/oauth2/auth',
            tokenURL: 'https://accounts.google.com/o/oauth2/token',
            clientID: config.getConfigs().GOOGLE_CLIENT_ID,
            clientSecret: config.getConfigs().GOOGLE_CLIENT_SECRET,
            callbackURL: config.getConfigs().GOOGLE_RETURN_URL
        },
        function (accessToken, refreshToken, profile, done) {
            var userInfo = {
                'type': 'google',
                'userid': profile.id,
                'name': profile.displayName,
                'email': profile.emails[0].value,
                'avatar': profile._json.picture
            };
            return done(null, userInfo);
        }
     
        passport.serializeUser(function (user, done) {
           done(null, user);
        });
     
        passport.deserializeUser(function (obj, done) {
          done(null, obj);
        });
     
    ));
    

    代码中的 function (accessToken, refreshToken, profile, done) 就是用户授权后的回调,Passport 会将获取到的用户信息包装成profile,里面的转换代码可以自由发挥,最后记得调用done,并将用户信息返回。done 就是我们定义在路由里的回调,稍后会提到。

    serializeUser 和 deserializeUser 是转换用的序列化/ 反序列化。

    结合Express

    在  authUtils.js 中导出给 Express 用的路由:

    module.exports = function (app) {
        app.use(passport.initialize());
     
        app.get('/auth/google',
            passport.authenticate('google', {
                scope: 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/userinfo.profile'
            }));
     
        app.get('/auth/google/return',
            passport.authenticate('google', { failureRedirect: '/login' }),
            function (req, res) {
                if (req.user) {
                    //...some user login handling code
                }
                res.redirect('/');
            });
    };
    

     第1个 get 路由是我们可以在UI 上引用的地址,点击它开始OAuth 2 流程,即 Passport 的入口;第2个 get路由是Passport 的出口,即上节提到被 done 方法回调的地址,此时整个 OAuth 2 流程完成,程序得到了 user 信息(Passport将它注入到了 req上,但仅此一次可用,阅后即焚)。在认证过程发生任何错误,将跳转到  failureRedirect 指定的地址。Passport为我们做了诸如 code 交换 token的一系列琐碎事情。

    app.js 中调用,So easy:

    var authUtils = require('../authUtils');
    authUtils(app);
    

    小结

    OAuth 2 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,但即便如此,在Node.js 的 OAuth 2交互实现中,仍需 为Owner/App/Server的三方交互流程编写很多代码。使用Passport框架,将大大简化这一编程模型,使我们可以将更多精力投入到业务实现上。

    本文提供的仅是一个基于Passport框架的OAuth 2方案思路,代码部分也仅是个骨架,望抛砖引玉。

    更多文章请移步我的blog新地址: http://www.moye.me/  

  • 相关阅读:
    Singleton 单例模式 泛型 窗体控制
    SpringMVC异常处理注解@ExceptionHandler
    如何实现beanutils.copyProperties不复制某些字段
    Spring 注解学习笔记
    使用客户端SVN在Update时遇到Previous operation has not finished; run 'cleanup' if it was interrupted,需要cheanup文件夹,解决方式
    jQuery的选择器中的通配符
    mysql str_to_date字符串转换为日期
    Mybatis中mapper.xml文件判断语句中的单双引号问题
    Jquery中each的三种遍历方法
    Javascript 中动态添加 对象属性
  • 原文地址:https://www.cnblogs.com/moye/p/node_oauth2_passport.html
Copyright © 2020-2023  润新知