使用 Passport.js 实现各种身份验证策略

引言

大家好，欢迎来到今天的讲座！今天我们要一起探讨的是如何使用 Passport.js 实现各种身份验证策略。如果你是一个开发者，尤其是后端开发者，那么你一定知道身份验证（Authentication）和授权（Authorization）是任何应用程序中不可或缺的一部分。想象一下，如果没有身份验证，任何人都可以随意访问你的应用，那将会是一场灾难！?

Passport.js 是一个非常流行的 Node.js 中间件，它可以帮助我们轻松地实现多种身份验证策略。无论是本地登录、OAuth 2.0、JWT 还是其他复杂的认证方式，Passport.js 都能帮你搞定。更重要的是，它的 API 设计非常简洁，易于上手。

在这篇文章中，我们将从基础开始，逐步深入，了解如何使用 Passport.js 实现常见的身份验证策略。我们会通过代码示例来帮助你更好地理解每个步骤。文章的风格会尽量轻松诙谐，希望能让你在学习的过程中也能感受到一些乐趣。?

准备好了吗？让我们开始吧！

什么是 Passport.js？

Passport.js 的定义

Passport.js 是一个用于 Node.js 应用程序的身份验证中间件。它简化了用户身份验证的过程，支持多种认证策略，如用户名/密码、OAuth、OpenID 等。Passport.js 的核心思想是将身份验证逻辑与应用程序的业务逻辑分离，这样你可以专注于构建应用的功能，而不需要担心复杂的认证流程。

为什么选择 Passport.js？

1. 灵活性：Passport.js 支持多种认证策略，几乎涵盖了所有常见的身份验证方式。无论是本地登录、社交媒体登录（如 GitHub、Google、Facebook），还是企业级认证（如 LDAP、SAML），Passport.js 都有相应的插件。

2. 易用性：Passport.js 的 API 设计非常简洁，使用起来非常直观。你只需要几行代码就可以集成一个新的认证策略。

3. 社区支持：Passport.js 拥有一个庞大的社区，提供了大量的插件和文档。无论你遇到什么问题，都能找到解决方案。

4. 可扩展性：Passport.js 的设计允许你根据需要自定义认证逻辑。如果你对现有的策略不满意，可以轻松地编写自己的策略。

安装 Passport.js

在开始之前，我们需要先安装 Passport.js。假设你已经有一个 Node.js 项目，并且已经安装了 express。如果还没有安装 express，可以通过以下命令安装：

npm install express

接下来，安装 Passport.js 和 Express 的会话管理中间件 express-session：

npm install passport passport-local express-session

passport-local 是用于本地用户名/密码认证的策略，而 express-session 则用于管理用户的会话信息。

基本配置

为了使用 Passport.js，我们需要在 Express 应用中进行一些基本配置。首先，确保你在 app.js 或主文件中引入了必要的模块：

const express = require('express');
const passport = require('passport');
const session = require('express-session');
const LocalStrategy = require('passport-local').Strategy;

const app = express();

接下来，配置会话管理中间件。会话管理器的作用是保存用户的登录状态，确保用户在不同页面之间保持登录状态。我们使用 express-session 来管理会话：

app.use(session({
  secret: 'your-secret-key', // 用于加密会话数据
  resave: false,
  saveUninitialized: true
}));

然后，初始化 Passport.js 并将其挂载到 Express 请求对象上：

app.use(passport.initialize());
app.use(passport.session()); // 启用会话支持

到这里，Passport.js 的基本配置就完成了。接下来，我们可以开始实现具体的认证策略了。

本地认证策略（Local Strategy）

什么是本地认证？

本地认证是最常见的一种认证方式，用户通过输入用户名和密码进行登录。这种方式适用于大多数 Web 应用，尤其是那些没有第三方登录需求的应用。

实现本地认证

要实现本地认证，我们需要使用 passport-local 策略。首先，定义一个本地认证策略，告诉 Passport.js 如何验证用户的用户名和密码。我们可以通过 LocalStrategy 来实现这一点：

passport.use(new LocalStrategy(
  function(username, password, done) {
    // 在这里查询数据库，验证用户名和密码是否匹配
    User.findOne({ username: username }, function (err, user) {
      if (err) { return done(err); }
      if (!user) { return done(null, false, { message: '用户名不存在' }); }
      if (!user.verifyPassword(password)) { return done(null, false, { message: '密码错误' }); }
      return done(null, user);
    });
  }
));

在这个例子中，我们假设有一个 User 模型，它有一个 verifyPassword 方法，用于验证用户输入的密码是否正确。如果用户名或密码不匹配，done 函数会返回一个错误消息；否则，返回用户对象。

序列化和反序列化

Passport.js 使用序列化和反序列化来管理用户的会话信息。当用户成功登录时，Passport.js 会将用户对象序列化并存储在会话中。当用户再次访问应用时，Passport.js 会根据会话中的信息反序列化出用户对象。

我们可以通过 passport.serializeUser 和 passport.deserializeUser 来定义序列化和反序列化的逻辑：

passport.serializeUser(function(user, done) {
  done(null, user.id); // 将用户的 ID 存储在会话中
});

passport.deserializeUser(function(id, done) {
  User.findById(id, function (err, user) {
    done(err, user); // 根据 ID 查询用户并返回
  });
});

创建登录路由

现在我们已经有了认证策略和会话管理，接下来可以创建一个登录路由。这个路由将处理用户的登录请求，并使用 Passport.js 进行认证：

app.post('/login', 
  passport.authenticate('local', {
    successRedirect: '/', // 登录成功后重定向到主页
    failureRedirect: '/login', // 登录失败后重定向到登录页面
    failureFlash: true // 启用闪存消息，显示错误信息
  })
);

在这个例子中，passport.authenticate('local') 会调用我们之前定义的本地认证策略。如果认证成功，用户将被重定向到主页；如果失败，则重定向回登录页面，并显示错误信息。

创建注册路由

除了登录，我们还需要一个注册功能。注册功能允许用户创建新账户。我们可以创建一个简单的注册路由，接收用户的用户名和密码，并将它们保存到数据库中：

app.post('/register', (req, res, next) => {
  const { username, password } = req.body;

  // 检查用户名是否已存在
  User.findOne({ username }, (err, existingUser) => {
    if (existingUser) {
      return res.redirect('/register?error=用户名已存在');
    }

    // 创建新用户
    const newUser = new User({ username, password });
    newUser.save((err) => {
      if (err) { return next(err); }
      res.redirect('/login'); // 注册成功后跳转到登录页面
    });
  });
});

保护路由

为了让某些页面只能被已登录的用户访问，我们可以使用 Passport.js 提供的 isAuthenticated 中间件。这个中间件会检查用户的登录状态，如果用户未登录，则重定向到登录页面：

function isAuthenticated(req, res, next) {
  if (req.isAuthenticated()) {
    return next(); // 用户已登录，继续执行后续逻辑
  }
  res.redirect('/login'); // 用户未登录，重定向到登录页面
}

// 保护某个路由
app.get('/dashboard', isAuthenticated, (req, res) => {
  res.send('这是只有登录用户才能访问的页面');
});

OAuth 2.0 认证策略

什么是 OAuth 2.0？

OAuth 2.0 是一种授权协议，允许第三方应用以安全的方式访问用户的数据，而无需暴露用户的凭据。通过 OAuth 2.0，用户可以在不提供密码的情况下授权应用访问他们的个人信息。最常见的例子就是使用 Google、GitHub 或 Facebook 登录。

实现 OAuth 2.0 认证

Passport.js 提供了多个 OAuth 2.0 策略，例如 passport-google-oauth20、passport-github 和 passport-facebook。我们将以 Google 登录为例，展示如何实现 OAuth 2.0 认证。

1. 注册应用

首先，你需要在 Google Cloud Console 中注册一个应用，并获取客户端 ID 和客户端密钥。注册完成后，你会得到两个重要的信息：

• Client ID：用于标识你的应用
• Client Secret：用于验证你的应用

2. 安装依赖

安装 passport-google-oauth20 策略：

npm install passport-google-oauth20

3. 配置策略

接下来，配置 Google OAuth 2.0 策略。你需要提供客户端 ID、客户端密钥以及回调 URL。回调 URL 是用户授权后，Google 会将用户重定向到的地址：

const GoogleStrategy = require('passport-google-oauth20').Strategy;

passport.use(new GoogleStrategy({
  clientID: 'YOUR_GOOGLE_CLIENT_ID',
  clientSecret: 'YOUR_GOOGLE_CLIENT_SECRET',
  callbackURL: 'http://localhost:3000/auth/google/callback'
}, function(accessToken, refreshToken, profile, done) {
  // 在这里查找或创建用户
  User.findOrCreate({ googleId: profile.id }, function (err, user) {
    return done(err, user);
  });
}));

在这个例子中，profile 对象包含了用户的基本信息，如姓名、头像等。你可以根据这些信息查找或创建用户。

4. 创建认证路由

接下来，创建两个路由：一个是发起认证请求的路由，另一个是处理回调的路由。

app.get('/auth/google',
  passport.authenticate('google', { scope: ['profile'] })
);

app.get('/auth/google/callback', 
  passport.authenticate('google', { failureRedirect: '/login' }),
  function(req, res) {
    // 认证成功后重定向到主页
    res.redirect('/');
  }
);

第一个路由 /auth/google 会将用户重定向到 Google 的授权页面。用户授权后，Google 会将用户重定向到 /auth/google/callback，并在回调中处理认证结果。

5. 保护路由

与本地认证类似，我们可以使用 isAuthenticated 中间件来保护某些路由，确保只有已登录的用户才能访问：

app.get('/dashboard', isAuthenticated, (req, res) => {
  res.send('这是只有登录用户才能访问的页面');
});

JWT 认证策略

什么是 JWT？

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息。JWT 通常用于无状态的认证机制，尤其是在 RESTful API 中。与传统的基于会话的认证不同，JWT 不需要服务器端存储用户的会话信息，因此非常适合分布式系统和微服务架构。

实现 JWT 认证

要实现 JWT 认证，我们需要使用 passport-jwt 策略。首先，安装依赖：

npm install passport-jwt jsonwebtoken

1. 配置策略

接下来，配置 JWT 策略。我们需要提供一个密钥，用于签名和验证 JWT。此外，我们还需要指定 JWT 的解析方式（例如从请求头中提取 JWT）：

const JwtStrategy = require('passport-jwt').Strategy;
const ExtractJwt = require('passport-jwt').ExtractJwt;

const opts = {
  jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
  secretOrKey: 'your-secret-key'
};

passport.use(new JwtStrategy(opts, function(jwt_payload, done) {
  // 在这里查找用户
  User.findById(jwt_payload.sub, function(err, user) {
    if (err) {
      return done(err, false);
    }
    if (user) {
      return done(null, user);
    } else {
      return done(null, false);
    }
  });
}));

在这个例子中，jwtFromRequest 指定了从请求头中提取 JWT 的方式。secretOrKey 是用于签名和验证 JWT 的密钥。jwt_payload 包含了 JWT 中的用户信息，我们可以根据这些信息查找用户。

2. 生成 JWT

在用户登录成功后，我们可以生成一个 JWT 并将其返回给客户端。客户端可以在后续请求中将 JWT 放在请求头中，以便进行认证。

app.post('/login', (req, res, next) => {
  const { username, password } = req.body;

  User.findOne({ username }, (err, user) => {
    if (err) { return next(err); }
    if (!user || !user.verifyPassword(password)) {
      return res.status(401).json({ message: '用户名或密码错误' });
    }

    // 生成 JWT
    const token = jwt.sign({ sub: user.id }, 'your-secret-key', { expiresIn: '1h' });

    res.json({ token });
  });
});

在这个例子中，我们使用 jsonwebtoken 库生成了一个 JWT，并将其返回给客户端。JWT 中包含了一个 sub 字段，表示用户的 ID。expiresIn 参数指定了 JWT 的过期时间。

3. 保护路由

为了保护某些路由，我们需要使用 passport.authenticate('jwt') 中间件来验证 JWT：

app.get('/api/profile', 
  passport.authenticate('jwt', { session: false }),
  (req, res) => {
    res.json(req.user); // 返回用户信息
  }
);

在这个例子中，passport.authenticate('jwt') 会验证请求头中的 JWT。如果 JWT 有效，req.user 会包含用户信息；否则，请求将被拒绝。

自定义认证策略

Passport.js 的强大之处在于它的灵活性。除了内置的认证策略，你还可以根据自己的需求编写自定义策略。自定义策略允许你完全控制认证过程，适合那些没有现成策略的场景。

编写自定义策略

编写自定义策略非常简单。你需要继承 passport.Strategy 类，并实现 authenticate 方法。authenticate 方法是 Passport.js 调用的核心方法，负责处理认证逻辑。

下面是一个简单的自定义策略示例，假设我们要通过 API 密钥进行认证：

const Strategy = require('passport-strategy');

class ApiKeyStrategy extends Strategy {
  constructor(options, verify) {
    super();
    this.name = 'api-key';
    this._verify = verify;
  }

  authenticate(req, options) {
    const apiKey = req.headers['x-api-key'];

    if (!apiKey) {
      return this.fail({ message: '缺少 API 密钥' }, 401);
    }

    this._verify(apiKey, (err, user) => {
      if (err) { return this.error(err); }
      if (!user) { return this.fail({ message: '无效的 API 密钥' }, 401); }

      return this.success(user);
    });
  }
}

module.exports = ApiKeyStrategy;

在这个例子中，我们创建了一个名为 ApiKeyStrategy 的自定义策略。authenticate 方法会从请求头中提取 API 密钥，并调用 verify 回调函数来验证密钥的有效性。如果验证成功，this.success(user) 会将用户信息传递给下一个中间件；否则，this.fail 会返回一个错误消息。

使用自定义策略

要使用自定义策略，你需要在 Passport.js 中注册它，并提供一个验证函数：

const ApiKeyStrategy = require('./strategies/api-key');

passport.use(new ApiKeyStrategy(
  function(apiKey, done) {
    // 在这里验证 API 密钥
    if (apiKey === 'your-secret-api-key') {
      return done(null, { id: 1, name: 'API User' });
    } else {
      return done(null, false);
    }
  }
));

app.get('/api/data', 
  passport.authenticate('api-key', { session: false }),
  (req, res) => {
    res.json({ message: '这是一个受保护的 API' });
  }
);

在这个例子中，我们使用 passport.authenticate('api-key') 来验证 API 密钥。如果密钥有效，用户将能够访问受保护的 API。

总结

恭喜你！你已经学会了如何使用 Passport.js 实现多种身份验证策略。无论是本地认证、OAuth 2.0、JWT 还是自定义策略，Passport.js 都能帮助你轻松应对各种认证需求。

通过今天的讲座，我们不仅了解了 Passport.js 的基本概念，还掌握了如何在实际项目中应用它。希望这篇文章能为你提供一些有价值的参考，帮助你在开发过程中更加高效地实现身份验证功能。

如果你有任何问题或建议，欢迎随时留言交流！?

最后，祝你在开发之旅中一帆风顺，编码愉快！?