Passport.js 可选身份验证答案

【问题标题】：Passport.js optional authenticationPassport.js 可选身份验证
【发布时间】：2014-11-06 12:25:37
【问题描述】：

是否有来自 Passport.js 的可选身份验证中间件？

假设我有一条路线，/api/users。我只想向公众提供一个用户列表，但对于经过身份验证的人，我想添加更多字段。

目前我只有一个愚蠢的自定义方法可以做同样的事情，但我想知道：

Passport.js 已经提供了这样的东西或者
我怎样才能使它成为护照的一部分，就像一个插件一样。

我的方法大致是这样的

function optionalAuth(req, res, next) {

    var authHeader = req.headers.authorization;
    var token = parseToken(authHeader); // just getting the OAuth token here
    if(!token) {

        return next();
    }
    User.findOne({
        token: token
    }, function(err, user) {

        if(err) {
            return res.json(401, {message: 'auth expired'});
        };
        if(user) {
            req.user = user;
        }
        next();
    });
}

然而，这对我来说似乎很愚蠢，而且在 passport-auth-strategies.js 或我认为应该存在的其他身份验证层中也不行。有什么更好的方法？

如果我找到一个令牌但它是无效的，告诉我是否做正确的事情返回 401 的奖励积分 :)

【问题讨论】：

假设您已经具备基本功能（验证用户身份），我认为您可以使用req.isAuthenticated()（这是 Passport 定义的）来检查您是否要返回额外的字段。
我不能使用 req.isAuthenticated 因为我不能把 passport.authenticate() 放在这之前。为什么？因为未经身份验证的用户会被拒绝。我没有会话，它是一个无状态 API，只是一个不记名令牌。如果我将 passport.authenticate() 放在路由中，一些用户会得到 401。我希望他们通过，只能获得有限的信息。

标签： javascript node.js authentication oauth-2.0 passport.js

【解决方案1】：

现在可能会迟到，但有一个 anonymous Passport 策略可以完全实现这一点。这样，公共路由既可以进行身份验证，也可以不进行身份验证，但是当他们这样做时，您仍然会拥有与经过身份验证的用户关联的所有信息。在这里查看：https://github.com/jaredhanson/passport-anonymous

【讨论】：

这份工作已经晚了，但可能对以后的工作有所帮助:)

【解决方案2】：

这是一个简单的 PoC：

var express       = require('express');
var app           = express();
var server        = app.listen(3012);
var passport      = require('passport');
var LocalStrategy = require('passport-local').Strategy;

app.use(passport.initialize());

passport.use(new LocalStrategy(function(username, password, done) {
  if (username === 'foo' && password === 'bar') {
    return done(null, { username : 'foo' });
  }
  return done(null, false);
}));

app.get('/api', function(req, res, next) {
  passport.authenticate('local', function(err, user, info) {
    var data = { hello : 'world' };
    // Only if the user authenticated properly do we include secret data.
    if (user) {
      data.secret = '3133753CR37';
    }
    return res.send(data);
  })(req, res, next);
});

它在/api 端点中“手动”调用passport.authenticate。这样，您就可以更好地控制如何处理身份验证错误（在您的情况下，这不应被视为错误，而是一种限制输出的方式）。

这是未经适当身份验证的输出：

$ curl 'localhost:3012/api?username=foo&password=wrong'
{"hello":"world"}

还有：

$ curl 'localhost:3012/api?username=foo&password=bar'
{"hello":"world","secret":"3133753CR37"}

用作中间件：

var middleware = function(req, res, next) {
  passport.authenticate('local', function(err, user, info) {
    req.authenticated = !! user;
    next();
  })(req, res, next);
};

app.get('/api', middleware, function(req, res, next) {
  var data = { hello : 'world' };
  if (req.authenticated) {
    data.secret = '3133753CR37';
  }
  return res.send(data);
});

【讨论】：

谢谢。在某种程度上它比我的尝试更好，因为它使用护照进行身份验证。但它有点笨拙，我不能把它作为中间件放在未经身份验证的路由上。但这可能可以包装成某种插件。不过我得试试。
@Zlatko 我编辑了我的答案，以提供有关如何将其变成中间件的想法。
太棒了，就是这样，比我多管闲事。