Pengesahan Pengguna dengan Stack Mean

Artikel ini meneroka pengesahan pengguna dalam aplikasi stack min, menggunakan seni bina yang sama: aplikasi satu halaman sudut berinteraksi dengan Node.js, Express.js, dan API REST berasaskan MongoDB. Kami akan merangkumi aspek utama pengurusan pengguna yang selamat.

Cabaran Pengesahan Teras:

Proses memerlukan menangani beberapa titik penting:

Pendaftaran Pengguna.
1. penyimpanan data selamat (kata laluan adalah
tidak pernah
2. disimpan secara langsung). Log masuk pengguna.
3. Mengekalkan sesi pengguna aktif di seluruh lawatan halaman.
4. Mengehadkan akses ke halaman tertentu untuk pengguna yang disahkan sahaja.
5. secara dinamik menyesuaikan antara muka pengguna berdasarkan status log masuk (mis., Memaparkan butang "Login" atau "Profil saya").

Gambaran keseluruhan pengesahan peringkat tinggi:

Sebelum menyelidiki kod, mari kita periksa aliran pengesahan peringkat tinggi:

Penyimpanan data:
• Data pengguna, termasuk kata laluan hashed, tinggal di MongoDB.
API (Express.js):
• Pengendalian API Express.js Buat, Baca, Kemas Kini, dan Padam (CRUD) untuk Data Pengguna.
Interaksi sisi klien (sudut):
• Aplikasi sudut berinteraksi dengan API, menguruskan interaksi pengguna dan keadaan sesi menggunakan token Web JSON (JWTS).
jwts:
• JWTS, menggantikan kuki tradisional, sesuai untuk aplikasi satu halaman yang bergantung kepada API yang tenang. Mereka dihasilkan semasa pendaftaran atau log masuk yang berjaya.
Pengurusan Sesi:
• Sudut menyimpan JWT untuk mengekalkan sesi pengguna. Kesahan JWT diperiksa sebelum memaparkan pandangan yang dilindungi. JWT dihantar kembali ke API Express untuk akses laluan yang dilindungi.
Keselamatan:
• Kata laluan adalah hashed dan masin menggunakan modul Node.js . Pasport.js, dalam Express, melaksanakan strategi pengesahan (khususnya, strategi tempatan untuk pengesahan nama pengguna/kata laluan). crypto

Contoh struktur aplikasi:

Kod Lengkap boleh didapati di GitHub. Prasyarat termasuk node.js, mongodb, dan cli sudut.

Permohonan sudut:

aplikasi sudut mempunyai empat halaman asas:

rumah

Daftar
Login
profil (hanya boleh diakses kepada pengguna log masuk)

REST API (node.js, express.js, mongoDB):

API termasuk tiga laluan teras:

1. /api/register (pos): Pendaftaran pengguna.
2. /api/login (pos): log masuk pengguna.
3. /api/profile/:USERID (mendapatkan): mengambil butiran profil pengguna (dilindungi).

skema mongoDB (mongoose):

Skema pengguna mudah dalam

mentakrifkan /api/models/users.js, email, name, dan hash medan. Bidang salt adalah unik. email

var userSchema = new mongoose.Schema({
  email: { type: String, unique: true, required: true },
  name: { type: String, required: true },
  hash: String,
  salt: String
});

Hashing dan Salting Kata Laluan:

kaedah

dan setPassword, memanfaatkan modul Node.js validPassword, mengendalikan pengurusan kata laluan yang selamat tanpa menyimpan kata laluan secara langsung. crypto

userSchema.methods.setPassword = function(password) {
  this.salt = crypto.randomBytes(16).toString('hex');
  this.hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
};

userSchema.methods.validPassword = function(password) {
  var hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
  return this.hash === hash;
};

jwt generasi:

kaedah

menggunakan modul generateJwt untuk membuat JWTS. jsonwebtoken ingat untuk menyimpan rahsia anda dengan selamat, idealnya sebagai pemboleh ubah persekitaran, tidak langsung dalam kod.

userSchema.methods.generateJwt = function() {
  var expiry = new Date();
  expiry.setDate(expiry.getDate() + 7);

  return jwt.sign({
    _id: this._id,
    email: this.email,
    name: this.name,
    exp: parseInt(expiry.getTime() / 1000),
  }, "MY_SECRET");
};

konfigurasi pasport.js:

pasport.js memudahkan pengesahan di Express. Fail

mentakrifkan strategi tempatan: /api/config/passport.js

passport.use(new LocalStrategy({ usernameField: 'email' }, function(username, password, done) {
  User.findOne({ email: username }, function(err, user) {
    // ... (error handling and password verification logic) ...
  });
}));

API Endpoints and Authentication:

Fail

mentakrifkan laluan API, termasuk middleware untuk pengesahan JWT menggunakan /api/routes/index.js: express-jwt

var auth = jwt({ secret: 'MY_SECRET', userProperty: 'payload' });
router.get('/profile', auth, ctrlProfile.profileRead);

Perkhidmatan Pengesahan Angular:

Perkhidmatan sudut (

) menguruskan penyimpanan JWT (LocalStorage), pengambilan semula, penghapusan, panggilan API, pemeriksaan status log masuk, dan pengekstrakan butiran pengguna dari JWT. authentication.service.ts

perlindungan laluan sudut:

Pengawal Laluan Angular (

) melindungi laluan auth-guard.service.ts, memastikan hanya pengguna log masuk boleh mengaksesnya. /profile

Kesimpulan:

Butiran panduan komprehensif ini membina sistem pengesahan yang selamat dalam aplikasi stack min. Ingatlah untuk sentiasa mengutamakan pengendalian kata laluan yang selamat dan pengurusan JWT. Contoh yang disediakan menawarkan asas yang kukuh untuk melaksanakan pengesahan pengguna yang mantap dalam projek anda sendiri.

Soalan-soalan yang sering ditanya (Soalan Lazim): (Soalan Lazim Asal sudah cukup komprehensif dan ditulis dengan baik. Saya tidak akan mengulanginya di sini, kerana menambah mereka akan membuat respons ini terlalu lama.)

Atas ialah kandungan terperinci Pengesahan Pengguna dengan Stack Mean. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!