平均スタックを使用したユーザー認証

この記事では、一般的なアーキテクチャを使用して、平均スタックアプリケーション内のユーザー認証を調査します。Node.js、Express.js、およびMongoDBベースのREST APIと対話する角度のあるシングルページアプリ。 安全なユーザー管理の重要な側面については説明します

コア認証の課題：

このプロセスには、いくつかの重要なポイントに対処する必要があります：

ユーザー登録。

1. セキュアデータストレージ（パスワードは
直接保存されない）。
2. ユーザーログイン。
ページ訪問全体でアクティブなユーザーセッションを維持します。
3. 認証されたユーザーのみの特定のページへのアクセスを制限する
。
4. ログインステータスに基づいてユーザーインターフェイスを動的に調整します（たとえば、「ログイン」または「マイプロファイル」ボタンの表示）。
5. ハイレベル認証の概要：

コードを掘り下げる前に、高レベルの認証フローを調べてみましょう：

データストレージ：

ハッシュされたパスワードを含むユーザーデータは、mongodbに居住しています。

API（Express.js）：
• Express.js APIは、ユーザーデータの作成、読み取り、更新、および削除（CRUD）操作を処理します。 クライアントサイドインタラクション（Angular）：
AngularアプリケーションはAPIと相互作用し、JSON Webトークン（JWTS）を使用してユーザーインタラクションとセッション状態を管理し、セッション状態を管理します。
• jwts：jwtsは、従来のCookieを置き換え、安らかなAPIに依存するシングルページアプリケーションに最適です。 登録またはログインが成功すると生成されます
• セッション管理：Angularは、ユーザーセッションを維持するためにJWTを保存します。 JWTの有効性は、保護されたビューを表示する前にチェックされます。 JWTは、保護されたルートアクセスのためにExpress APIに送り返されます。
セキュリティ：
• パスワードは、node.jsのモジュールを使用してハッシュおよび塩漬けです。 Passport.jsは、Express内で、認証戦略（具体的には、ユーザー名/パスワード検証のためのローカル戦略）を実装しています。
の例アプリケーション構造：
• 完全なコードはGitHubで利用できます。 前提条件には、node.js、mongodb、および角度cli。cryptoが含まれます

角度アプリケーション：

Angular Appには、4つの基本ページがあります：

home

登録

login プロファイル（ログインしたユーザーにのみアクセスできます）

2. ret api（node.js、express.js、mongodb）：
APIには、3つのコアルートが含まれています
1. /api/register（post）：ユーザー登録。
2. /api/login（post）：ユーザーログイン。
3. /api/profile/:USERID（get）：ユーザープロファイルの詳細（保護）を取得します。

mongodbスキーマ（mongoose）：

/api/models/users.jsの単純なユーザースキーマは、email、name、hash、およびsaltフィールドを定義します。 emailフィールドは一意です。

var userSchema = new mongoose.Schema({
  email: { type: String, unique: true, required: true },
  name: { type: String, required: true },
  hash: String,
  salt: String
});

パスワードハッシュと塩漬け：

setPasswordおよびvalidPasswordメソッド、node.jsのcryptoモジュールをレバレッジ、パスワードを直接保存せずに安全なパスワード管理を処理します。

userSchema.methods.setPassword = function(password) {
  this.salt = crypto.randomBytes(16).toString('hex');
  this.hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
};

userSchema.methods.validPassword = function(password) {
  var hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
  return this.hash === hash;
};

jwt生成：

generateJwtメソッドは、jsonwebtoken理想的には、環境変数として、コードに直接ではなく、環境変数として安全に保管することを忘れないでください。

passport.js構成：

userSchema.methods.generateJwt = function() {
  var expiry = new Date();
  expiry.setDate(expiry.getDate() + 7);

  return jwt.sign({
    _id: this._id,
    email: this.email,
    name: this.name,
    exp: parseInt(expiry.getTime() / 1000),
  }, "MY_SECRET");
};

Passport.jsは、Expressの認証を簡素化します。 ファイルは、ローカル戦略を定義します：

/api/config/passport.js

APIエンドポイントと認証：

passport.use(new LocalStrategy({ usernameField: 'email' }, function(username, password, done) {
  User.findOne({ email: username }, function(err, user) {
    // ... (error handling and password verification logic) ...
  });
}));

ファイルは、

：

を使用したJWT認証用のミドルウェアを含むAPIルートを定義します。 /api/routes/index.js express-jwt

角度認証サービス：

var auth = jwt({ secret: 'MY_SECRET', userProperty: 'payload' });
router.get('/profile', auth, ctrlProfile.profileRead);

Angular Service（

を管理する（

） authentication.service.ts

角度ルート保護：

角度のルートガード（

）は

ルートを保護し、ログインしたユーザーのみがアクセスできるようにします。 auth-guard.service.ts/profile結論：

この包括的なガイドの詳細は、平均スタックアプリケーションで安全な認証システムを構築します。 安全なパスワード処理とJWT管理に常に優先順位を付けることを忘れないでください。 提供された例は、あなた自身のプロジェクトで堅牢なユーザー認証を実装するための強固な基盤を提供します。

よくある質問（FAQS）：

（元のFAQはすでに非常に包括的でよく書かれています。この応答が過度に長くなるので、ここで繰り返しません。）

以上が平均スタックを使用したユーザー認証の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。