网站在登录前,需要进行注册收集用户基本信息,bcrypt 提供密码加密验证的方法,但是使用不正确,会给初学者带来各种问题。

bcrypt 的安装:

npm i bcrypt

经过测试,经常安装不成功,原因和node.js的版本有原因,我在 下面这篇文章中有记录解决办法:

bcrypt 安装不成功解决办法

但也不是万能的,如果还不能解决的话,可以尝试给 bcrypt 指定版本号安装:

npm install --save bcrypt@2.0.1

一般是会成功的!!

用户在注册时,除了收集用户信息外,因为要用到 bcrypt ,必须要在注册时对密码进行加密,加密后再保存到数据库中。因为用户登录时,使用 bcrypt 的 compare 方法,这个方法是验证加密的密码的,如果在注册时没有加密,而登录时使用 compare 进行验证,直接会导致,将 mongodb 直接挂掉!而且登录也不会成功,也不报错,也不提示的这种尴尬的局面,会导致无从下手。

bcrypt  注册的逻辑:

  1. 收集用户(表单)的基本信息
  2. bcrypt.genSalt() 给密码加密
  3. 加密完成,将数据保存在数据库
router.post('/register',urlencodedParser,(req,res) => {

    //验证

    const newUser = new UserSchema({

        email: req.body.email,

        password:req.body.password,

        confirmPassword:req.body.confirmPassword,

        firstName:req.body.firstName,

        lastName:req.body.lastName

    });

    console.log('body:  ' + newUser)

    //给 newUser.password 加密,hash 为加密后的密码

    bcrypt.genSalt(10, function(err, salt) {

        bcrypt.hash(newUser.password, salt, (err, hash) => {

            if(err) throw err;

            newUser.password = hash;

            //保存到数据库

            newUser.save().then((user) => {

                res.redirect('/admin/login');

                res.send(user);

            }).catch((err) => {

                res.render('/admin/register',{})

            })

        });

    });

});
res.redirect() 为跳转到哪个路径
注册成功之后,直接跳转到 login 页面。

登录相对比较复杂,会用到 passport 与 bcrypt 进行验证。
  • passport 功能单一,支持本地账号验证和第三方账号登录验证,这里用到了本地用户登录验证。它本身不能作验证,它主要是用来验证请求的,是由 passport 与 local-passport 搭配使用的。
  • bcrypt 是单向的,跨平台的文件加密工具,经过它加密的密码,口令为8~56个字符,并在内容被转化为 448 位的密钥,在加密算法领域,越慢的加密算法越安全,bcrypt 比 md5 还要慢,因此它的算法是比较安全的,黑客破解成本高。因 bcrypt 是单向的,受攻击破解的概率大大降低。

登录方法也可以不使用 passport 登录帐号验证,仅使用 bcrypt 进行密码验证:

const express = require('express');

const router = express.Router();

const bodyParser = require('body-parser');

const bcrypt = require('bcrypt');

const urlencodedParser = bodyParser.urlencoded({ extended: false });

require('../models/UserSchema');

const UserSchema = mongoose.model('users');

router.post("/login",urlencodedParser,(req,res,next) => {

    const loginUser = {

        email:req.body.email,

        password:req.body.password

    };

    console.log(loginUser);

     UserSchema.findOne({

         email:loginUser.email

       }).then(users => {if(!users){

           return done(null, false, {message: 'No User Found'});

        }

       //验证密码

         bcrypt.compare(loginUser.password, users.password, (err, isMatch) => {

          if(err) throw err;

          if(isMatch){

           res.redirect('/')

         } else {

           res.redirect('/admin/login')

          }

        })

      })

  });

同时使用 passport 与 bcrypt 进行验证:

npm install passport --save

npm install passport-local --save

默认本地验证是通过用户名和密码来进行验证的,需要对 Strategies 进行配置:

assport.use(new LocalStrategy(

      function(username, password, done) {

          //操作

    })

})

我这个项目是使用邮箱和密码来进行验证的,方法有所不同:

passport.use(new LocalStrategy({usernameField: 'email'}, (email, password, done) => {

    //操作
  }))
LocalStrategy 的第一个参数对象为一个字符串,用来说明是用户验证是的是一个 email;
          第二个参数是从 passport 方法中获取并传回来的表单中的值,也就是要验证的字段。
          第二个参数中的 done 为验证回调,在passport.use()里面,done()有三种用法
  • 当发生系统级异常时,返回done(err),这里是数据库查询出错
  • 当验证不通过时,返回done(null, false, message),这里的message是可选的,可通过express-flash调用。express-flash 为验证提示信息:登录成功 / 登录失败
  • 当验证通过时,返回done(null, user)

login 在这里的登录方法,登录过程中的密码验证在 passport.js 中一起操作:

const express = require('express');
const router = express.Router();
const mongoose = require('mongoose');
const bodyParser = require('body-parser');
const bcrypt = require('bcrypt');
const passport = require('passport');
const urlencodedParser = bodyParser.urlencoded({ extended: false });

router.post("/login",urlencodedParser,(req,res,next) => {

    const loginUser = {

        email:req.body.email,

        password:req.body.password

    };

    console.log(loginUser);

    passport.authenticate('local', {

      successRedirect:'/',

      failureRedirect: '/admin/login',

      failureFlash: true

    })(req, res, next);

})

这里的passport.authenticate(‘local’)就是中间件,若通过就进入后面的回调函数,并且给res加上res.user,若不通过则默认返回401错误。

authenticate()方法有3个参数,第一是name,即验证策略的名称,第二个是options,包括下列属性:

  • session:Boolean。设置是否需要session,默认为true
  • successRedirect:String。设置当验证成功时的跳转链接
  • failureRedirect:String。设置当验证失败时的跳转链接
  • failureFlash:Boolean or String。设置为Boolean时,express-flash将调用use()里设置的message。设置为String时将直接调用这里的信息。
  • successFlash:Boolean or String。使用方法同上。

第三个参数是callback。



const LocalStrategy = require('passport-local').Strategy;






const bcrypt = require('bcrypt');



// Load user model


const UserSchema = require('../models/UserSchema');




 






module.exports = function(passport){


  passport.use(new LocalStrategy({usernameField: 'email'}, (email, password, done) => {


  console.log('获取的字段:' + email+'/'+ password)


  // Match user


  UserSchema.findOne({


    email:email


  }).then(users => {


    console.log('user存在吗?' + users)


    if(!users){


      return done(null, false, {message: 'No User Found'});


    }



        // Match password


        bcrypt.compare(password, users.password, (err, isMatch) => {


            console.log('password   ' + password);


            console.log('user.password' + users.password);


            if(err) throw err;


            if(isMatch){


                console.log('isMatch   ' + isMatch)


                return done(null, users);


            } else {


                return done(null, false, {message: 'Password Incorrect'});


            }


        })


     })


  }));









/**下面两个方法是用来对数据进行序列化的

   * serializeUser  将users.id序列化到session中

   * deserializeUser  若id存在则从数据库中查询users并存储与req.users中

   *

   * 此处的 users 为表名

   */

  passport.serializeUser(function(users, done) {

    done(null, users.id);

  });

  passport.deserializeUser(function(id, done) {

    UserSchema.findById(id, function(err, users) {

      done(err, users);

    });

  });

}




登录验证方法还没有完全搞懂,如果哪里有不对的地方,欢迎指正。
												


											
网站注册与登录使用 bcrypt与 passport 双重验证 解释的更多相关文章
	

    
								
  1. django-auth组件的注册,登录,登出,及验证是否已经登入。使用login的属性
		
    1.注册: 1.创建User(django自带的用户model)的form对象 定义form验证返回的错误提示信息 error_msg = { 'username': {'required': '用户 ...
    
		
    2. 
						
  2. 学习MVC之租房网站(八)- 前台注册和登录
		
    在上一篇<学习MVC之租房网站(七)-房源管理和配图上传>完成了在后台新增.编辑房源信息以及上传房源配图的功能.到此后台开发便告一段落了,开始实现前台的功能,也是从用户的登录.注册开始.  ...
    
		
    3. 
						
  3. 利用angular4和nodejs-express构建一个简单的网站(五)—用户的注册和登录-HttpClient
		
    上一节简单介绍了一下利用angular构建的主路由模块,根据上一节的介绍,主页面加载时直接跳转到用户管理界面,下面就来介绍一下用户管理模块.启动应用后,初始界面应该是这样的: 用户管理模块(users ...
    
		
    4. 
						
  4. 网站实现微信登录之回调函数中登录逻辑的处理--基于yii2开发的描述
		
    上一篇文章网站实现微信登录之嵌入二维码中描述了如何在自己的登录页面内嵌入登录二维码,今天的这篇文章主要是描述下在扫码成功之后微信重定向回网站后登录逻辑的处理,其实也就是验证身份信息,授权用户登录的逻辑 ...
    
		
    5. 
						
  5. 多平台的网站实现单点登录系统(SSO)的开发思路 让你的会员中心更加统一(参考资料)
		
    单点登录并不是一个新鲜的玩意儿,比较官方的解释是企业业务整合的解决方案之一,通俗来讲SSO就是一个通用的用户中心,国内比较流行的UCenter就是一套单点登录解决方案.而近期以CSDN明文存储用户密码 ...
    
		
    6. 
						
  6. PHP开发网站之微信登录、绑定
		
    )))刷新access_token()); ); ); curl_setopt($curlobj, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($curlo ...
    
		
    7. 
						
  7. 网站集成QQ登录功能
		
    最近在做一个项目时,客户要求网站能够集成QQ登录的功能,以前没做过这方面的开发,于是去QQ的开放平台官网研究了一下相关资料,经过自己的艰苦探索,终于实现了集成QQ登录的功能,现在把相关的开发经验总结一 ...
    
		
    8. 
						
  8. PC 端微信扫码注册和登录
		
    一.前言 先声明一下,本文所注重点为实现思路,代码及数据库设计主要为了展现思路,如果对代码效率有着苛刻要求的项目切勿照搬. 相信做过微信开发的人授权这块都没少做过,但是一般来说我们更多的是为移动端的网 ...
    
		
    9. 
						
  9. 网站集成QQ登录功能(转)
		
    最近在做一个项目时,客户要求网站能够集成QQ登录的功能,以前没做过这方面的开发,于是去QQ的开放平台官网研究了一下相关资料,经过自己的艰苦探索,终于实现了集成QQ登录的功能,现在把相关的开发经验总结一 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. visual studio code .net 开发
			
    Visual Studio确实是相当好用,各种简化操作什么的简直不要太舒服.但其容量太大,有时不是很方便,所以今天简单介绍一下另一个工具--Visual Studio Code. 虽然相比于老大哥Vi ...
    
			
    2. 
						
  2. Hystrix源码解析
			
    1. Hystrix源码解析 1.1. @HystrixCommand原理 直接通过Aspect切面来做的 1.2. feign hystrix原理 它的本质原理就是对HystrixCommand的动 ...
    
			
    3. 
						
  3. 使用Ninject的一般步骤
			
    以下为DI控制反转个人理解烦请各位大牛指教~ 编写程序时我们应当遵循抵耦合高内聚的原则(各个功能模块互不依赖). 我们可以利用面向对象里面接口的特性来进行DI控制反转,让功能模块全部依赖接口,而不依赖 ...
    
			
    4. 
						
  4. Java面向接口编程,低耦合高内聚的设计哲学
			
    接口体现的是一种规范和实现分离的设计哲学,充分利用接口可以极大的降低程序中各个模块之间的耦合,提高系统的可维护性以及可扩展性. 因此,很多的软件架构设计理念都倡导"面向接口编程"而 ...
    
			
    5. 
						
  5. 海康相机SDK二次开发只有视频无声音问题
			
    海康SDK相信做企业开发的的同仁,在项目中经常会用到,毕竟使用范围这么广. 本次就开发遇到的奇葩问题来说明一下我们的解决方案. 场景 虽然海康有4200客户端,但是对于高度定制化的项目,肯定不能再使用 ...
    
			
    6. 
						
  6. windows凭据管理
			
    解决windows凭据无法保存的问题1: 运行-gpedit.msc(组策略)-计算机配置-管理模板-系统-凭据分配 双击右侧”允许分配保存的凭据用于仅NTLM服务器身份验证“ 在弹出的窗口中选中“已 ...
    
			
    7. 
						
  7. PHP错误:SQLSTATE[HY000] [2054] The server requested authentication method unknown to the client
			
    使用PHP连接MySQL 8的时候,可能会发生如标题所示的错误: SQLSTATE[HY000] [2054] The server requested authentication method u ...
    
			
    8. 
						
  8. WireShark捕获HTTPS
			
    firefox,chrome会将 TLS 会话中使用的对称密钥保存在外部文件中. 1.建立环境变量 linux,mac 使用export建立变量:export SSLKEYLOGFILE=/tmp/s ...
    
			
    9. 
						
  9. 中国四大骨干网与十大ISP服务商
			
    1.骨干网 几台计算机连接起来,互相可以看到其他人的文件,这叫局域网,整个城市的计算机都连接起来,就是城域网,把城市之间连接起来的网就叫骨干网.这些骨干网是国家批准的可以直接和国外连接的互联网.其他有 ...
    
			
    10. 
						
  10. ASP.NET Core 快速入门(实战篇)
			
    上篇讲了<asp.net core在linux上的环境部署>.今天我们将做几个小玩意实战一下.用到的技术和工具有mysql.websocket.AngleSharp(爬虫html解析).n ...
    
			
    11.