Koa.js - Authentifizierung
Die Authentifizierung ist ein Prozess, bei dem die angegebenen Anmeldeinformationen mit denen verglichen werden, die in der Datenbank mit Informationen autorisierter Benutzer auf einem lokalen Betriebssystem oder auf einem Authentifizierungsserver gespeichert sind. Wenn die Anmeldeinformationen übereinstimmen, ist der Vorgang abgeschlossen und der Benutzer erhält die Berechtigung zum Zugriff.
Wir werden ein sehr einfaches Authentifizierungssystem erstellen, das verwendet wird Basic HTTP Authentication. Dies ist die einfachste Möglichkeit, die Zugriffskontrolle durchzusetzen, da keine Cookies, Sitzungen oder andere Elemente erforderlich sind. Um dies zu verwenden, muss der Client den Autorisierungsheader zusammen mit jeder von ihm gestellten Anforderung senden. Der Benutzername und das Passwort werden nicht verschlüsselt, sondern in einer einzigen Zeichenfolge wie der folgenden verkettet.
username:password
Diese Zeichenfolge wird mit Base64 codiert, und das Wort Basic wird vor diesen Wert gestellt. Wenn Ihr Benutzername beispielsweise Ayush und das Passwort India lautet, wird die Zeichenfolge verwendet"Ayush:India" würde wie im Autorisierungsheader codiert gesendet.
Authorization: Basic QXl1c2g6SW5kaWE=
Um dies in Ihrer Koa-App zu implementieren, benötigen Sie die Middleware Koa-Basic-Auth. Installieren Sie es mit -
$ npm install --save koa-basic-auth
Öffnen Sie nun Ihre Datei app.js und geben Sie den folgenden Code ein.
//This is what the authentication would be checked against
var credentials = { name: 'Ayush', pass: 'India' }
var koa = require('koa');
var auth = require('koa-basic-auth');
var _ = require('koa-router')();
var app = koa();
//Error handling middleware
app.use(function *(next){
try {
yield next;
} catch (err) {
if (401 == err.status) {
this.status = 401;
this.set('WWW-Authenticate', 'Basic');
this.body = 'You have no access here';
} else {
throw err;
}
}
});
// Set up authentication here as first middleware.
// This returns an error if user is not authenticated.
_.get('/protected', auth(credentials), function *(){
this.body = 'You have access to the protected area.';
yield next;
});
// No authentication middleware present here.
_.get('/unprotected', function*(next){
this.body = "Anyone can access this area";
yield next;
});
app.use(_.routes());
app.listen(3000);
Wir haben eine Middleware zur Fehlerbehandlung erstellt, um alle authentifizierungsbezogenen Fehler zu behandeln. Dann haben wir 2 Routen erstellt -
/protected- Auf diese Route kann nur zugegriffen werden, wenn der Benutzer den richtigen Authentifizierungsheader sendet. Für alle anderen wird es einen Fehler geben.
/unprotected - Auf diese Route kann jeder mit oder ohne Authentifizierung zugreifen.
Wenn Sie jetzt eine Anfrage ohne Authentifizierungsheader oder mit falschen Anmeldeinformationen an / protected senden, wird eine Fehlermeldung angezeigt. Zum Beispiel,
$ curl https://localhost:3000/protected
Sie erhalten die Antwort als -
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic
Content-Type: text/plain; charset=utf-8
Content-Length: 28
Date: Sat, 17 Sep 2016 19:05:56 GMT
Connection: keep-alive
Please authenticate yourself
Mit den richtigen Anmeldeinformationen erhalten Sie jedoch die erwartete Antwort. Zum Beispiel,
$ curl -H "Authorization: basic QXl1c2g6SW5kaWE=" https://localhost:3000/protected -i
Sie erhalten die Antwort als -
HTTP/1.1 200 OK
Content-Type: text/plain; charset=utf-8
Content-Length: 38
Date: Sat, 17 Sep 2016 19:07:33 GMT
Connection: keep-alive
You have access to the protected area.
Die / ungeschützte Route ist weiterhin für alle zugänglich.