在Node.js的广阔生态系统中，身份验证是一个至关重要且频繁遇到的需求。Passport.js作为一个灵活且强大的中间件，为Node.js应用提供了多种身份验证策略的支持，包括本地认证、OAuth、OpenID等。下面，我将详细介绍如何在Node.js项目中使用Passport.js进行用户身份验证，确保每一步都清晰、实用，并融入“码小课”的概念，作为学习资源和参考的延伸。 ### 1. 环境准备 首先，确保你的开发环境已经安装了Node.js。接着，创建一个新的Node.js项目，并初始化npm（Node Package Manager）环境。 ```bash mkdir my-passport-project cd my-passport-project npm init -y ``` 安装Express框架和Passport.js及其依赖库： ```bash npm install express express-session passport passport-local passport-local-mongoose mongoose body-parser ``` 这里，`express-session`用于管理会话，`passport-local`和`passport-local-mongoose`提供了基于用户名和密码的本地认证策略，而`mongoose`则用于与MongoDB数据库交互。`body-parser`用于解析传入的请求体。 ### 2. 设置Express和Passport 接下来，配置Express应用并集成Passport。 ```javascript const express = require('express'); const session = require('express-session'); const passport = require('passport'); const LocalStrategy = require('passport-local').Strategy; const mongoose = require('mongoose'); const User = require('./models/User'); // 假设你已经定义了一个User模型 const app = express(); // 连接MongoDB（这里以本地数据库为例） mongoose.connect('mongodb://localhost:27017/mydatabase', { useNewUrlParser: true, useUnifiedTopology: true }); // 序列化与反序列化用户实例 passport.serializeUser((user, done) => { done(null, user.id); }); passport.deserializeUser((id, done) => { User.findById(id, (err, user) => { done(err, user); }); }); // 使用session中间件 app.use(session({ secret: 'your_secret_here', resave: false, saveUninitialized: true })); // 初始化Passport app.use(passport.initialize()); app.use(passport.session()); // 设置路由和视图（略，根据实际需求添加） app.listen(3000, () => { console.log('Server is running on port 3000'); }); ``` ### 3. 配置本地认证策略 现在，我们需要配置一个本地认证策略，该策略将基于用户提供的用户名和密码进行验证。 ```javascript passport.use(new LocalStrategy( function(username, password, done) { User.findOne({ username: username }, function(err, user) { if (err) { return done(err); } if (!user) { return done(null, false, { message: 'Incorrect username.' }); } if (!user.validPassword(password)) { // 假设User模型有validPassword方法 return done(null, false, { message: 'Incorrect password.' }); } return done(null, user); }); } )); ``` 注意：上面的`validPassword`方法需要你根据自己的加密策略（如bcrypt）来实现。 ### 4. 创建用户模型 由于我们使用了`passport-local-mongoose`，可以简化用户模型的创建过程。但为了展示更多细节，这里手动创建一个简单的User模型。 ```javascript const mongoose = require('mongoose'); const bcrypt = require('bcryptjs'); const userSchema = new mongoose.Schema({ username: { type: String, required: true, unique: true }, password: { type: String, required: true } }); // 密码加密 userSchema.pre('save', function(next) { if (!this.isModified('password')) return next(); bcrypt.hash(this.password, 10, (err, hash) => { if (err) return next(err); this.password = hash; next(); }); }); // 密码验证 userSchema.methods.validPassword = function(password) { return bcrypt.compareSync(password, this.password); }; module.exports = mongoose.model('User', userSchema); ``` ### 5. 实现注册和登录路由 现在，我们可以创建处理用户注册和登录的路由了。 ```javascript const express = require('express'); const router = express.Router(); const User = require('./models/User'); const passport = require('passport'); // 注册路由 router.post('/register', (req, res) => { const { username, password } = req.body; const newUser = new User({ username, password }); newUser.save((err) => { if (err) { return res.status(500).send('Server error'); } res.send('User registered successfully'); }); }); // 登录路由 router.post('/login', passport.authenticate('local', { successRedirect: '/dashboard', failureRedirect: '/login', failureFlash: true }) ); // 确保你的应用已经使用了这个路由 app.use('/', router); ``` 注意：`failureFlash`是Express-Flash的功能，用于在会话中存储消息并在后续请求中访问它们，但这里为了简化，我们省略了Express-Flash的安装和配置。 ### 6. 认证保护路由 现在，你可以使用Passport中间件来保护那些需要用户认证的路由了。 ```javascript router.get('/dashboard', isAuthenticated, (req, res) => { res.send('Welcome to the dashboard!'); } ); // 认证中间件 function isAuthenticated(req, res, next) { if (req.isAuthenticated()) { return next(); } res.redirect('/login'); } // 确保全局或按需引入这个中间件 ``` ### 7. 总结与扩展 至此，你已经成功在Node.js项目中使用Passport.js进行了基本的用户身份验证。Passport.js的灵活性允许你轻松集成其他认证策略，如OAuth（通过`passport-oauth2`等包），从而为你的应用提供更广泛的用户认证选项。 在“码小课”网站上，你可以找到更多关于Node.js、Express、Passport.js以及MongoDB的深入教程和实战项目，帮助你从基础到高级逐步掌握这些技术。通过这些资源，你将能够构建出更加安全、功能丰富的Web应用。 记住，安全总是开发中的首要考虑因素之一。在处理用户认证时，确保你的应用遵循最佳安全实践，比如使用HTTPS、妥善存储密码哈希值、限制登录尝试次数等。希望这篇文章能为你的Node.js身份验证之旅提供一个良好的起点。