Express实例代码分析1——简单的用户验证登录文件

/**
 * Module dependencies.
 */

var express = require('../..');//   ../..是上级目录的上级目录
var hash = require('pbkdf2-password')()
var path = require('path');
var session = require('express-session');

var app = module.exports = express();

// config

app.set('view engine', 'ejs');// 定义view引擎，即视图文件后缀名
app.set('views', path.join(__dirname, 'views'));// 定义视图存放的路径，便于node查找

// middleware

app.use(express.urlencoded({ extended: false }))
app.use(session({
  resave: false, // don't save session if unmodified
  saveUninitialized: false, // don't create session until something stored
  secret: 'shhhh, very secret'
})); /*express-session中间件，session被序列化为json格式，把它当做一个json对象操作就可以了*/

// 保存session消息的中间件

app.use(function(req, res, next){
  var err = req.session.error;//取得失败消息
  var msg = req.session.success;//取得成功消息
  //删除req.session的两个属性
  delete req.session.error;
  delete req.session.success;
/*res.locals:An object that contains response local variables scoped to the request, and therefore available only to the view(s) rendered during that request / response cycle (if any). Otherwise, this property is identical to app.locals.

This property is useful for exposing request-level information such as the request path name, authenticated user, user settings, and so on.*/
  res.locals.message = '';
  if (err) res.locals.message = '<p class="msg error">' + err + '</p>';
  if (msg) res.locals.message = '<p class="msg success">' + msg + '</p>';
  next();
});

//假装是个数据库，实际只有一个用户名为tj
var users = {
  tj: { name: 'tj' }
};

// 创建用户时，需要提供用户名、密码、salt、hash

hash({ password: 'foobar' }, function (err, pass, salt, hash) {
  if (err) throw err;
  // store the salt & hash in the "db"
  users.tj.salt = salt;
  users.tj.hash = hash;
});

// 认证用户核心代码，需要匹配用户名、hash

function authenticate(name, pass, fn) {
  if (!module.parent) console.log('authenticating %s:%s', name, pass);//如果没有引用本模块的模块，也就是只运行了这个单文件
  var user = users[name];//根据name查询用户
  if (!user) return fn(new Error('cannot find user'));

  hash({ password: pass, salt: user.salt }, function (err, pass, salt, hash) {
    if (err) return fn(err);
    if (hash === user.hash) return fn(null, user)
    fn(new Error('invalid password'));
  });
}
/*限制访问中间件，如果浏览器中有session.user，就不限制，否则重定向到login页面*/
function restrict(req, res, next) {
  if (req.session.user) {
    next();
  } else {
    req.session.error = 'Access denied!';
    res.redirect('/login');
  }
}
//默认网站主页重定向到login
app.get('/', function(req, res){
  res.redirect('/login');
});
//restricted页面应该是成功登陆后的页面，使用restrict中间件限制访问
app.get('/restricted', restrict, function(req, res){
  res.send('Wahoo! restricted area, click to <a href="/logout">logout</a>');
});
/*登出页面，调用session.destory方法（Destroys the session and will unset the req.session property. Once complete, the callback will be invoked.
req.session.destroy(function(err) {
  // cannot access session here
})）*/
app.get('/logout', function(req, res){
  req.session.destroy(function(){
    res.redirect('/');
  });
});
//处理用户对login页面的get请求，渲染展示这个页面
app.get('/login', function(req, res){
  res.render('login');
});
/*处理用户对login页面的post请求，即通过点击按钮发出而非通过uri的请求*/
app.post('/login', function(req, res){
/*express框架赋予req对象body属性：Contains key-value pairs of data submitted in the request body. By default, it is undefined, and is populated when you use body-parsing middleware such as body-parser and multer.*/
  authenticate(req.body.username, req.body.password, function(err, user){
//如果第二个参数不为空，表示登陆成功，设置成功信息
    if (user) {
      /*Session.regenerate(callback)：

To regenerate the session simply invoke the method. Once complete, a new SID and Session instance will be initialized at req.session and the callback will be invoked.*/
      req.session.regenerate(function(){
        req.session.user = user;
        req.session.success = 'Authenticated as ' + user.name
          + ' click to <a href="/logout">logout</a>. '
          + ' You may now access <a href="/restricted">/restricted</a>.';
/*A back redirection redirects the request back to the referer, defaulting to / when the referer is missing.
/代表root，back就是返回跳转之前的页面（记录在http请求头里的http referer）
res.redirect('back');    */
        res.redirect('back');
      });
    }
//如果用户不存在，设置失败信息并重定向到登陆页面
   else {
      req.session.error = 'Authentication failed, please check your '
        + ' username and password.'
        + ' (use "tj" and "foobar")';
      res.redirect('/login');
    }
  });
});

/* istanbul ignore next */
if (!module.parent) {
  app.listen(3000);
  console.log('Express started on port 3000');
}
    

总结一下：这是一个基础的用户认证的express实例。真正显示的页面只有login页面和restricted页面，而在views中只有login模板，restricted页面是写在js中的，而这份代码通过redirect和路由比较简洁地处理了用户可能的各种请求和跳转.

关于登陆成功后有一句res.redirect('back')，一开始我以为没什么用，因为在login.ejs模板中，action是/login，也就是这个页面自己，等于说点了登陆按钮，post请求发给了自己。在我注释掉这一句后，发现结果是下面这样的。至于为什么，还不清楚，可能是因为不能post到本页面。这个程序为了简洁，使用get、post两种方法代表用户两种操作，所以需要这种不正常的操作弥补。

这个程序还有一些漏洞，应该在authenticate函数中添加一段没有错误登陆就删除网站session的语句，否则前一个用户正常登陆，因为还是跳转到了login页面，可以第二次登陆，这时候如果输入错误的用户名和密码，尽管没通过验证，仍然可以通过get方法（uri、跳转）访问到restricted页面，不合逻辑。所以这个跳转到本页面有毒，无论从逻辑上还是程序上都有毒，应该直接重定向到restricted页面，不logout就不让出去。

后来我又想了一下，使用重定向还是不靠谱，用户可以正确登陆后，点击返回，回到登录页再错误登陆。我参考了一下csdn的做法，我正确登陆之后，它新建了一个页面，与原来的页面无关了，但这个时候session中肯定有我的信息了，我在登录页随便点了一个广告，果然是以登陆的状态访问的。但是当我错误登陆之后，再在登陆页点击广告，就变成了以未登陆的状态访问。显然，csdn使用了我上面提到的那种做法，一旦错误登陆，就删除这个页面的登陆状态。

总结一下，解决这种用户状态比较稳妥的做法：

1.另外打开一个页面，不让用户使用返回登录页。

2.其实1不重要，只要用户错误登陆一次，就删除session中保存的信息或者更新session中保存的信息，比如从登陆状态改变为未登录状态，就可以解决这种错误逻辑了。