文档章节

nodejs使用express,crypto配合validator实现用户登录逻辑

piggybear
 piggybear
发布于 2015/02/16 10:30
字数 1075
阅读 21
收藏 0

最近的项目使用express来写,这也是我尝试写的第一个nodejs的大型项目。今天实现了半天的登陆逻辑,还是很费劲的,在此记录一下。

大部分的知识都是从https://github.com/cnodejs/nodeclub 这份源码学到的,还有express官方的一个登陆验证示例

https://github.com/visionmedia/express/blob/master/examples/auth/app.js

当然还有api  http://expressjs.jser.us/api.html#res.status  但是吐槽一下,express的api。。真心崎岖。。

首先最坑的一点。。。让session生效

    app.use(express.cookieParser());//开启cookie
    app.use(express.session({//开启session
        secret: config.session_secret
    }));
    app.use(app.router);

那么注意了,前两行一定要写在app.router这个中间件前面!否则session始终未定义!

之后我们开始书写session与cookie配合的逻辑。

基本逻辑:

  • 进入网站后(此时没有session),从cookie中取加密的数据,进行验证,若验证成功,在session中存储user,用户免登陆。
  • 进入首页时(需要登录的页面),若session中没有user,则自动跳到登陆页面。
  • 登陆时,采用post方式提交用户信息,利用加密算法进行加密,存储登录信息到cookie中。
  • 数据库采用的mysql,采用啥都无所谓。。因为我是通过http与后端写好的统一登陆接口进行通信的。登陆成功返回0,失败返回-9999

ok,下面来一条条的实现这些逻辑。

首先我们利用crypto这个牛逼的加密加密库进行加密解密操作

var crypto = require('crypto');
//加密
function encrypt(str, secret) {
    var cipher = crypto.createCipher('aes192', secret);
    var enc = cipher.update(str, 'utf8', 'hex');
    enc += cipher.final('hex');
    return enc;
}
//解密
function decrypt(str, secret) {
    var decipher = crypto.createDecipher('aes192', secret);
    var dec = decipher.update(str, 'hex', 'utf8');
    dec += decipher.final('utf8');
    return dec;
}

他的作用主要是把用户名密码进行加密存到cookie,读取时解密。而密文我们在配置文件中配置即可。

第一个逻辑需要一个加密与解密的操作。而进入网站开始就进行操作的话,可以使用app.use中间件。

    app.use(express.cookieParser());//开启cookie
    app.use(express.session({//开启session
        secret: config.session_secret
    }));
    app.use(require('./controller/site').auth_user); // 添加这个中间件,用来解析cookie
    app.use(app.router);

然后controller/side中auth_user如下

exports.auth_user = function (req, res, next) {
    if (req.session.user) {
        return next();//若没有session,直接跳过此中间件
    } else {
        var cookie = req.cookies[config.auth_cookie_name];//读cookie,通过配置文件中标识符读cookie
        if (!cookie) {
            return next();//若没有此站点的cookie,直接跳过此中间件
        }
        var auth_token = decrypt(cookie, config.session_secret);//解密操作
        var auth = auth_token.split('\t');
        var user = auth[0], passwd = auth[1];//解密后拿到username与password
        var data = {
            parament:user,
            password:passwd,
            route:'checkLogin',
        }
        var userLoginConf = config.apiService.userLogin;
        postData.send(data, userLoginConf, function (result) {//这部分为post的api请求进行验证。
            if (result == 0) {
                req.session.user = user.username;//存在此用户,开启session,存储user
                return next();//进行下一步
            } else {//不存在此用户,进行下一步
                return next();
            }
        })
    }
};

第二个逻辑很简单。我们直接使用一个私有函数即可。

/*session无效验证*/
function noSession(req,res){
    if (!req.session || !req.session.user) {
        res.redirect('login');
        return;
    }
}

第三个逻辑,配合router进行表单提交的工作

router:

    app.post('/login', site.login);

controller:

exports.login = function (req, res) {
    /*处理空值与注入*/
var param = handleParam(req.body)
    var data ={
        parament : param.username,
        password: param.password,
        route: 'checkLogin',
    }
    var userLoginConf = config.apiService.userLogin;
    postData.send(data,userLoginConf,function(result){//与后端api接口通信
        if(result ==0){//登陆成功
            var user = {
                'username':data.parament,
                'password':data.password
            }
            gen_session(user, res);//生成cookie
/*这个逻辑暂时没开,这是为了做那种“返回刚才页面”的需求
            //check at some page just jump to home page
            var refer = req.session._loginReferer || 'home';
            for (var i = 0, len = notJump.length; i !== len; ++i) {
                if (refer.indexOf(notJump[i]) >= 0) {
                    refer = 'home';
                    break;
                }
            }
            res.redirect(refer);
            */
            req.session.regenerate(function(){//写session。存入username
                // Store the user's primary key
                // in the session store to be retrieved,
                // or in this case the entire user object
                req.session.user = user.username;
                res.render('home',[]);//渲染数据,随便怎么渲染了。。
            });
        }else{
            res.render('login',[]);//登录失败,跳转到login。这里我没有加提示信息。
        }
    })
};

 这里处理注入使用了validator模块

var check = require('validator').check,
    sanitize = require('validator').sanitize;
/*处理空值与注入*/
function handleParam(params){
    var params = params || {};
    var safeParam = {};
    for(var key in params){
        var trimed = sanitize(params[key]).xss();
        var blockXssed = sanitize(trimed).xss();
            safeParam[key] = blockXssed
    }
    return safeParam
}

当然最后我们也要有个登出逻辑了

exports.logout = function (req, res, next) {//代码很简单,就不解释了
    req.session.destroy();
    res.clearCookie(config.auth_cookie_name, { path: '/' });
    res.redirect(req.headers.referer || 'login');
};

最后感谢写nodeclub  https://github.com/cnodejs/nodeclub 的各位,在你们的源码里学到了很多很多的东西!

本文转载自:http://blog.csdn.net/aa294194253/article/details/41333839

共有 人打赏支持
piggybear
粉丝 3
博文 237
码字总数 37552
作品 0
西安
技术主管
私信 提问
Nodejs + Express 实现多用户博客系统(23 个视频)

Nodejs 实现最常见的登录注册功能,结合管理文章等功能,实现大家所期待的多用户博客系统。 总播放时长:135 分钟 作者:hfpp2012 类别:后端 技术分类:Nodejs Node.js + Express 实现多用户...

rails365
2018/08/15
0
0
Node.js中的不安全跳转如何防御详解

Node.js中的不安全跳转如何防御详解 导语: 早年在浏览器大战期间,有远见的Chrome认为要运行现代Web应用,浏览器必须有一个性能非常强劲的Java引擎,于是Google自己开发了一个高性能的开源的...

开元中国2015
2018/10/23
0
0
使用 HTTP 上传 G 级的文件之 Node.js 版本

不管喜欢与否,javascript无处不在。 我们可以在客户端的前台应用中找到它,也可以在大量的框架、类库中找到它,而且可以在服务器端的后台应用中找到它。 近年来, Javascript越来越流行,这...

oschina
2014/11/02
7.9K
16
如何防御Node.js中的不安全跳转

         什么是不安全的重定向?   对于任何web开发人员来说,不安全或未经验证的重定向都是重要的安全考虑因素。Express为重定向提供了本地支持,使它们易于实现和使用。然而,Exp...

嘶吼RoarTalk
2018/10/09
0
0
spring boot——ajax跨域

前言 java语言在多数时,会作为一个后端语言,为前端的php,node.js等提供API接口。前端通过ajax请求去调用java的API服务。今天以node.js为例,介绍两种跨域方式:CrossOrigin和反向代理。 一...

吴金瑞
2018/06/26
0
0

没有更多内容

加载失败,请刷新页面

加载更多

面向对象三大特性之继承

1:继承,顾名思义就是子代继承父辈的一些东西,在程序中也就是子类继承父类的属性和方法。 1 #Author : Kelvin 2 #Date : 2019/1/16 18:57 3 4 class Father: 5 money=1000...

编辑之路
8分钟前
0
0
Html CSS学习(六)background-position背景图像的定位

Html CSS学习(六)background-position背景图像的定位 在网页中,会有很多的背景图像与一些小的图标等内容,在初学的时候,为了达到页面的效果,都是将原图切割成很多个独立的文件,这样,将...

AzureMonkey
27分钟前
0
0
6个使用KeePassX保护密码的技巧

虽然安全是个深奥的主题,但是你可以遵循几个简单的日常习惯来减小攻击面。本文将解释确保密码信息安全的重要性,并给出如何充分利用KeePassX的建议。 日益互联的数字世界使安全成为一个重要...

linuxprobe16
33分钟前
0
0
tac 与cat

tac从后往前看文件,结合grep使用

writeademo
今天
3
0
表单中readonly和dsabled的区别

这两种写法都会使显示出来的文本框不能输入文字, 但disabled会使文本框变灰,而且通过通过表单提交时,获取不到文本框中的value值(如果有的话), 而readonly只是使文本框不能输入,外观没...

少年已不再年少
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部