[英]Protecting an API with Scopes (oauth2orize, passport, express, Nodejs)
我正在尝试使用node / express创建一个API,并使用Passport和oauth2orize保护它。 我已经使用了API,我已经使用了oauth2,但是我似乎无法弄清楚如何使用范围来实现安全的API方法。
oauth2orize令牌处理者:
server.exchange(oauth2orize.exchange.password(function (client, username, password, scope, done) {
scope = scope || ['unauthorized'];
db.collection('oauth_users').findOne({username: username}, function (err, user) {
if (err) return done(err);
if (!user) return done(null, false);
for (i in scope)
if(user.scope.indexOf(scope[i]) < 0) return done(null, false);
bcrypt.compare(password, user.password, function (err, res) {
if (!res) return done(null, false);
var token = utils.uid(256)
var refreshToken = utils.uid(256)
var tokenHash = crypto.createHash('sha1').update(token).digest('hex')
var refreshTokenHash = crypto.createHash('sha1').update(refreshToken).digest('hex')
var expirationDate = new Date(new Date().getTime() + (3600 * 1000))
db.collection('oauth_access_tokens').save({token: tokenHash, expirationDate: expirationDate, clientId: client.clientId, userId: username, scope: scope}, function (err) {
if (err) return done(err)
db.collection('oauth_refresh_tokens').save({refreshToken: refreshTokenHash, clientId: client.clientId, userId: username}, function (err) {
if (err) return done(err)
done(null, token, refreshToken, {expires_in: expirationDate})
})
})
})
}) }))
护照不记名令牌检查器:
passport.use("accessToken", new BearerStrategy(
{passReqToCallback: true},
function (req, accessToken, done) {
console.dir(req.params);
var accessTokenHash = crypto.createHash('sha1').update(accessToken).digest('hex')
db.collection('oauth_access_tokens').findOne({token: accessTokenHash}, function (err, token) {
if (err) return done(err);
if (!token) return done(null, false);
if (new Date() > token.expirationDate) {
db.collection('oauth_access_tokens').remove({token: accessTokenHash}, function (err) { done(err) });
} else {
db.collection('oauth_users').findOne({username: token.userId}, function (err, user) {
if (err) return done(err);
if (!user) return done(null, false);
// no use of scopes for no
var info = { scope: '*' }
done(null, user, info);
})
}
})
}))
API安全性:
router.get('/restricted', passport.authenticate('accessToken', { scope: "unauthorized", session: false }), function (req, res) {
res.send("Restricted Function");})
我无法找到访问通过password.authenticate传递给Passport.use的“ scope”选项的示例。 我以为它在req对象中,但是我在那儿找不到它。 有什么帮助吗?
有点晚了。 但是认为这可能会有所帮助。 您可以从中间件中将您作为第三个参数传递的信息对象用作req.authInfo 。 如果您的用户对象附带有作用域 ,或者在护照.authenticate初始化级别上声明了作用域 ,则可以通过此参数将其传递并在中间件中使用。 请查看此链接范围的用法
Angular + Node + Express + Passport + oAuthorizeor独特的CORS问题
[英]Angular + Node + Express + Passport + oauth2orize unique CORS issues
无法使用ExpressJS与oauth2orize提供程序保持持久登录
[英]Unable to keep a peristent login with the oauth2orize provider using ExpressJS
在grant_type = password上未定义client_id(oauth2orize)
[英]client_id undefinded on grant_type=password (oauth2orize)
使用oAuth2orize传递可信客户端信息以获取“资源所有者密码流”
[英]Passing Trusted Client Information with oAuth2orize for the “Resource Owner Password Flow”
googleapis oauth2.0 + 用户注册通行证 - nodejs express 应用
[英]googleapis oauth2.0 + passport for user registration - nodejs express application
nodeJS代码模式=> Express中间件/ Oauth2 / Passport
[英]nodeJS code pattern => Express middleware/Oauth2/Passport
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.