নোড.জেএস এর জন্য কোনও বিদ্যমান ব্যবহারকারীর প্রমাণীকরণ গ্রন্থাগার রয়েছে? বিশেষত আমি এমন কিছু সন্ধান করছি যা কোনও ব্যবহারকারীর জন্য পাসওয়ার্ড প্রমাণীকরণ করতে পারে (একটি কাস্টম ব্যাক-এন্ড অ্যাথ ডিবি ব্যবহার করে) এবং সেই ব্যবহারকারীকে একটি সেশনের সাথে যুক্ত করে।
আমি একটি লেখক গ্রন্থাগার লেখার আগে, আমি ভেবেছিলাম যে লোকেরা বিদ্যমান লাইব্রেরিগুলি সম্পর্কে জানত কিনা। গুগল অনুসন্ধানের মাধ্যমে সুস্পষ্ট কিছু খুঁজে পাওয়া যায়নি।
-Shreyas
উত্তর:
আপনি যদি কানেক্ট বা এক্সপ্রেসের জন্য কোনও প্রমাণীকরণ কাঠামো সন্ধান করছেন তবে পাসপোর্টটি তদন্তের জন্য উপযুক্ত: https://github.com/jaredhanson/passport
(প্রকাশ: আমি পাসপোর্টের বিকাশকারী)
আমি সংযোগ-প্রমাণীকরণ এবং প্রত্যেককেই অনুসন্ধানের পরে পাসপোর্ট তৈরি করেছি। যদিও তারা উভয়ই দুর্দান্ত মডিউল, তারা আমার প্রয়োজন অনুসারে নয়। আমি এমন কিছু চেয়েছিলাম যা আরও কম ওজনযুক্ত এবং স্ববিরোধী।
পাসপোর্টটি পৃথক মডিউলে বিভক্ত হয়ে গেছে, সুতরাং আপনি কেবল যা প্রয়োজন (কেবলমাত্র প্রয়োজন হলে OAuth) ব্যবহার করতে পারেন use পাসপোর্ট আপনার অ্যাপ্লিকেশনটিতে কোনও রুটও মাউন্ট করে না, আপনি কখন এবং কোথায় প্রমাণীকরণ চান তা নির্ধারণ করার নমনীয়তা প্রদান করে এবং প্রমাণীকরণ সাফল্য হয় বা ব্যর্থ হলে কী ঘটে তা নিয়ন্ত্রণ করতে হুক সরবরাহ করে।
উদাহরণস্বরূপ, ফর্ম-ভিত্তিক (ব্যবহারকারীর নাম এবং পাসওয়ার্ড) প্রমাণীকরণ সেটআপ করার জন্য এখানে দ্বি-পদক্ষেপ প্রক্রিয়াটি রয়েছে:
passport.use(new LocalStrategy(
function(username, password, done) {
// Find the user from your DB (MongoDB, CouchDB, other...)
User.findOne({ username: username, password: password }, function (err, user) {
done(err, user);
});
}
));
app.post('/login',
passport.authenticate('local', { failureRedirect: '/login' }),
function(req, res) {
// Authentication successful. Redirect home.
res.redirect('/');
});অতিরিক্ত কৌশলগুলি ফেসবুক, টুইটার ইত্যাদির মাধ্যমে প্রমাণীকরণের জন্য উপলব্ধ Custom কাস্টম কৌশলগুলি প্রয়োজনে প্লাগ-ইন করা যেতে পারে।
done(null,false,{ message:'Incorrect username.' })এটি একটি কলব্যাকের স্বাক্ষর: এটি ভয়ানক। যেহেতু আমরা জানি না যে এই সমস্ত পরামিতিগুলি কী।
আমি অনুমান করি যে আপনি অনেক ভাল গ্রন্থাগার খুঁজে পান নি যে প্রমাণীকরণের জন্য একটি লাইব্রেরি ব্যবহার বেশিরভাগ ইঞ্জিনিয়ারড।
আপনি যা খুঁজছেন তা কেবল একটি সেশন-বাইন্ডার :) এর সাথে একটি সেশন:
if login and user == xxx and pwd == xxx
then store an authenticated=true into the session
if logout destroy sessionএটাই.
আমিও ব্যবহার করছি সংযোগ কিন্তু আমি দুটি কারণে কানেক্ট-প্রমাণীকরণ ব্যবহার করেন না:
আইএমএইচও সংযোগ-আথকে খুব শক্তিশালী এবং সংযোগের পেঁয়াজ-রিং আর্কিটেকচারটি পড়তে সহজ করে। না-যেতে - আমার মতামত :)। কীভাবে কানেক্ট কাজ করে এবং পেঁয়াজ রিং ধারণা সম্পর্কে একটি খুব ভাল এবং স্বল্প নিবন্ধ জানতে পারেন এখানে ।
আপনি যদি - লিখিত হিসাবে - কেবল ডাটাবেস বা ফাইলের সাথে একটি বেসিক বা HTTP লগইন ব্যবহার করতে চান। কানেক্ট-আথটি বেশ বড়। এটি OAuth 1.0, OAuth 2.0 এবং Co এর মতো জিনিসগুলির জন্য আরও বেশি
(এটি সম্পূর্ণ। টেস্টিংয়ের জন্য এটি কার্যকর করুন তবে আপনি যদি এটির উত্পাদনে ব্যবহার করতে চান তবে https ব্যবহার করতে ভুলবেন না) (এবং REST- নীতি-অনুগত হওয়ার জন্য আপনাকে জিইটি-অনুরোধ বি / সি-এর পরিবর্তে একটি পোষ্ট-অনুরোধ ব্যবহার করা উচিত) আপনি একটি রাষ্ট্র পরিবর্তন :)
var connect = require('connect');
var urlparser = require('url');
var authCheck = function (req, res, next) {
url = req.urlp = urlparser.parse(req.url, true);
// ####
// Logout
if ( url.pathname == "/logout" ) {
req.session.destroy();
}
// ####
// Is User already validated?
if (req.session && req.session.auth == true) {
next(); // stop here and pass to the next onion ring of connect
return;
}
// ########
// Auth - Replace this example with your Database, Auth-File or other things
// If Database, you need a Async callback...
if ( url.pathname == "/login" &&
url.query.name == "max" &&
url.query.pwd == "herewego" ) {
req.session.auth = true;
next();
return;
}
// ####
// This user is not authorized. Stop talking to him.
res.writeHead(403);
res.end('Sorry you are not authorized.\n\nFor a login use: /login?name=max&pwd=herewego');
return;
}
var helloWorldContent = function (req, res, next) {
res.writeHead(200, { 'Content-Type': 'text/plain' });
res.end('authorized. Walk around :) or use /logout to leave\n\nYou are currently at '+req.urlp.pathname);
}
var server = connect.createServer(
connect.logger({ format: ':method :url' }),
connect.cookieParser(),
connect.session({ secret: 'foobar' }),
connect.bodyParser(),
authCheck,
helloWorldContent
);
server.listen(3000);আমি এই বিবৃতিটি এক বছর আগে লিখেছি এবং বর্তমানে কোনও সক্রিয় নোড প্রকল্প নেই। তাই এক্সপ্রেসে এপিআই-পরিবর্তনগুলি থাকতে পারে। আমার কোনও পরিবর্তন হওয়া উচিত দয়া করে একটি মন্তব্য যুক্ত করুন।
দেখে মনে হচ্ছে সংযুক্ত মিডওয়্যারের সাথে সংযুক্ত-আথ প্লাগইনটি আমার প্রয়োজন ঠিক: http://wiki.github.com/ciaranj/connect-auth/creating-a-form-based-strategy
আমি এক্সপ্রেস [ http://expressjs.com ] ব্যবহার করছি তাই এক্সপ্রেস সংযোগ থেকে সাবক্ল্যাসড (ঠিক আছে - প্রোটোটাইপ) হওয়ায় সংযোগ প্লাগইনটি খুব সুন্দরভাবে ফিট করে
আমি মূলত একই জিনিস খুঁজছিলাম। বিশেষত, আমি নিম্নলিখিতগুলি চেয়েছিলাম:
আমি যা করে শেষ করেছি তা হ'ল আমার নিজস্ব মিডলওয়্যার ফাংশন তৈরি করা check_authযা আমি প্রত্যয়িত প্রতিটি রুটের পক্ষে যুক্তি হিসাবে পাস করি। check_authকেবলমাত্র অধিবেশনটি পরীক্ষা করে এবং ব্যবহারকারী যদি লগইন না করে থাকে তবে তাদের লগইন পৃষ্ঠায় পুনঃনির্দেশ করুন, যেমন:
function check_auth(req, res, next) {
// if the user isn't logged in, redirect them to a login page
if(!req.session.login) {
res.redirect("/login");
return; // the buck stops here... we do not call next(), because
// we don't want to proceed; instead we want to show a login page
}
// the user is logged in, so call next()
next();
}তারপরে প্রতিটি রুটের জন্য, আমি নিশ্চিত করি যে এই ফাংশনটি মিডওয়্যারের হিসাবে পাস হয়েছে। উদাহরণ স্বরূপ:
app.get('/tasks', check_auth, function(req, res) {
// snip
});শেষ অবধি, আমাদের লগইন প্রক্রিয়াটি আসলে পরিচালনা করতে হবে। এটি সোজা:
app.get('/login', function(req, res) {
res.render("login", {layout:false});
});
app.post('/login', function(req, res) {
// here, I'm using mongoose.js to search for the user in mongodb
var user_query = UserModel.findOne({email:req.body.email}, function(err, user){
if(err) {
res.render("login", {layout:false, locals:{ error:err } });
return;
}
if(!user || user.password != req.body.password) {
res.render("login",
{layout:false,
locals:{ error:"Invalid login!", email:req.body.email }
}
);
} else {
// successful login; store the session info
req.session.login = req.body.email;
res.redirect("/");
}
});
});যে কোনও হারে, এই পদ্ধতির বেশিরভাগ ক্ষেত্রে নমনীয় এবং সহজ হতে ডিজাইন করা হয়েছিল। আমি নিশ্চিত এটির উন্নতি করার অনেকগুলি উপায় রয়েছে। আপনার যদি কিছু থাকে তবে আমি আপনার প্রতিক্রিয়াটি খুব পছন্দ করব।
সম্পাদনা: এটি একটি সরলীকৃত উদাহরণ। কোনও প্রোডাকশন সিস্টেমে আপনি কখনই সরল পাঠ্যে পাসওয়ার্ড সংরক্ষণ এবং তুলনা করতে চাইবেন না। একজন মন্তব্যকারী উল্লেখ করার সাথে সাথে এমন লিবস রয়েছে যা পাসওয়ার্ড সুরক্ষা পরিচালনা করতে সহায়তা করতে পারে।
আমার এক প্রকল্পের বুনিয়াদি প্রমাণীকরণের জন্য এখানে কিছু কোড। আমি এটিকে কাউচডিবি এবং অতিরিক্ত প্রমাণীকরণের ডেটা ক্যাশে সহ ব্যবহার করি, তবে আমি সেই কোডটি সরিয়ে নিয়েছি।
হ্যান্ডলিংয়ের অনুরোধ করে আপনার চারপাশে একটি প্রমাণীকরণ পদ্ধতি মোড়ানো এবং অসফল প্রমাণীকরণের জন্য একটি দ্বিতীয় কলব্যাক সরবরাহ করুন। সাফল্য কলব্যাক অতিরিক্ত পরামিতি হিসাবে ব্যবহারকারীর নাম পাবে। ব্যর্থতা কলব্যাকে ভুল বা অনুপস্থিত শংসাপত্রগুলির সাথে অনুরোধগুলি সঠিকভাবে পরিচালনা করতে ভুলবেন না:
/**
* Authenticate a request against this authentication instance.
*
* @param request
* @param failureCallback
* @param successCallback
* @return
*/
Auth.prototype.authenticate = function(request, failureCallback, successCallback)
{
var requestUsername = "";
var requestPassword = "";
if (!request.headers['authorization'])
{
failureCallback();
}
else
{
var auth = this._decodeBase64(request.headers['authorization']);
if (auth)
{
requestUsername = auth.username;
requestPassword = auth.password;
}
else
{
failureCallback();
}
}
//TODO: Query your database (don't forget to do so async)
db.query( function(result)
{
if (result.username == requestUsername && result.password == requestPassword)
{
successCallback(requestUsername);
}
else
{
failureCallback();
}
});
};
/**
* Internal method for extracting username and password out of a Basic
* Authentication header field.
*
* @param headerValue
* @return
*/
Auth.prototype._decodeBase64 = function(headerValue)
{
var value;
if (value = headerValue.match("^Basic\\s([A-Za-z0-9+/=]+)$"))
{
var auth = (new Buffer(value[1] || "", "base64")).toString("ascii");
return {
username : auth.slice(0, auth.indexOf(':')),
password : auth.slice(auth.indexOf(':') + 1, auth.length)
};
}
else
{
return null;
}
};প্রমাণীকরণের ক্ষেত্রে আলাদা গ্রহণযোগ্যতা হ'ল পাসওয়ার্ডলেস, এক্সপ্রেশনের জন্য একটি টোকেন-ভিত্তিক প্রমাণীকরণ মডিউল যা পাসওয়ার্ডগুলির অন্তর্নিহিত সমস্যাটিকে সরিয়ে দেয় [1]। এটি প্রয়োগ করা দ্রুত, খুব বেশি ফর্মের প্রয়োজন হয় না এবং গড় ব্যবহারকারীর জন্য আরও ভাল সুরক্ষা সরবরাহ করে (সম্পূর্ণ প্রকাশ: আমি লেখক)।
কয়েক বছর কেটে গেছে এবং আমি এক্সপ্রেসের জন্য আমার প্রমাণীকরণ সমাধানটি উপস্থাপন করতে চাই। একে বলা হয় লকিত । আপনি আমার ব্লগে গিটহাব এবং একটি সংক্ষিপ্ত পরিচয় প্রকল্পটি পেতে পারেন ।
সুতরাং বিদ্যমান সমাধানের মধ্যে পার্থক্যগুলি কী কী?
require('lockit'), lockit(app), সম্পন্নusernameএবং password।কটাক্ষপাত উদাহরণ ।
ড্রাইওয়াল নামে একটি প্রকল্প রয়েছে যা পাসপোর্ট সহ কোনও ব্যবহারকারী লগইন সিস্টেম প্রয়োগ করে এবং এতে একটি ব্যবহারকারী পরিচালনা অ্যাডমিন প্যানেল রয়েছে। আপনি যদি কোনও পুরোপুরি বৈশিষ্ট্যযুক্ত ব্যবহারকারী প্রমাণীকরণ এবং পরিচালনা সিস্টেম সন্ধান করছেন যা জ্যাঙ্গোর কাছে নোড.জেএস এর মতো কিছু রয়েছে তবে এটি এটি। আমি এটি একটি নোড অ্যাপ্লিকেশন তৈরির জন্য সত্যই একটি ভাল সূচনা পয়েন্ট হিসাবে পেয়েছি যার জন্য ব্যবহারকারীর প্রমাণীকরণ এবং পরিচালনা ব্যবস্থা প্রয়োজন। পাসপোর্ট কীভাবে কাজ করে তার তথ্যের জন্য জারেড হ্যানসনের উত্তর দেখুন ।
নোড জেএস অনুমোদনের জন্য এখানে দুটি জনপ্রিয় গিথুব লাইব্রেরি রয়েছে:
https://github.com/jaredhanson/passport (প্রস্তাবযোগ্য)
মঙ্গো ব্যবহার করে দ্রুত সরল উদাহরণ, এমন একটি এপিআই যা কৌনিক ক্লায়েন্টের জন্য ব্যবহারকারীকে সরবরাহ করে
app.js এ
var express = require('express');
var MongoStore = require('connect-mongo')(express);
// ...
app.use(express.cookieParser());
// obviously change db settings to suit
app.use(express.session({
secret: 'blah1234',
store: new MongoStore({
db: 'dbname',
host: 'localhost',
port: 27017
})
}));
app.use(app.router);আপনার রুটের জন্য এই জাতীয় কিছু:
// (mongo connection stuff)
exports.login = function(req, res) {
var email = req.body.email;
// use bcrypt in production for password hashing
var password = req.body.password;
db.collection('users', function(err, collection) {
collection.findOne({'email': email, 'password': password}, function(err, user) {
if (err) {
res.send(500);
} else {
if(user !== null) {
req.session.user = user;
res.send(200);
} else {
res.send(401);
}
}
});
});
};তারপরে আপনার যে রুটগুলিতে লেখক প্রয়োজন, আপনি কেবলমাত্র ব্যবহারকারী সেশনের জন্য যাচাই করতে পারেন:
if (!req.session.user) {
res.send(403);
}এখানে একটি নতুন প্রমাণীকরণ গ্রন্থাগার রয়েছে যা টাইমস্ট্যাম্পড টোকেন ব্যবহার করে। টোকেনগুলি ব্যবহারকারীদের একটি ডাটাবেসে সংরক্ষণ করার প্রয়োজন ছাড়াই ইমেল বা টেক্সট করা যেতে পারে। এটি পাসওয়ার্ডহীন প্রমাণীকরণের জন্য বা দ্বি-গুণক প্রমাণীকরণের জন্য ব্যবহার করা যেতে পারে।
https://github.com/vote539/easy-no-password
প্রকাশ: আমি এই লাইব্রেরির বিকাশকারী।
আপনার যদি মাইক্রোসফ্ট উইন্ডো ব্যবহারকারীর অ্যাকাউন্টের সাথে এসএসওর (একক সাইন অন) প্রমাণীকরণের প্রয়োজন হয়। আপনি https://github.com/jlguenego/node-expose-sspi এ চেষ্টা করতে পারেন ।
এটি আপনাকে এমন একটি req.ssoবস্তু দেবে যার মধ্যে সমস্ত ক্লায়েন্ট ব্যবহারকারীর তথ্য রয়েছে (লগইন, প্রদর্শনের নাম, সিড, গোষ্ঠী)।
const express = require("express");
const { sso, sspi } = require("node-expose-sspi");
sso.config.debug = false;
const app = express();
app.use(sso.auth());
app.use((req, res, next) => {
res.json({
sso: req.sso
});
});
app.listen(3000, () => console.log("Server started on port 3000"));দাবি অস্বীকার: আমি নোড-এক্সপোজ-এসএসপিআইয়ের লেখক।
একটি হালকা ওজনের, শূন্য-কনফিগারেশন ব্যবহারকারী প্রমাণীকরণ মডিউল। এটির জন্য গতির ডাটাবেসের দরকার নেই।
https://www.npmjs.com/package/sweet-auth
এটি এত সহজ:
app.get('/private-page', (req, res) => {
if (req.user.isAuthorized) {
// user is logged in! send the requested page
// you can access req.user.email
}
else {
// user not logged in. redirect to login page
}
})
omniauth(রেল) বা পাইথনের সমতুল্যsocial-auth। পিএইচপি (এবং অন্যান্য সাধারণ ওয়েব সার্ভার ভাষা) ব্যবহারকারীদের পাশাপাশি তাদের সমতুল্য যোগ করতে নির্দ্বিধায় উচিত।