Базовая аутентификация HTTP с помощью Node и Express 4

Похоже, что реализация базовой HTTP-аутентификации с помощью Express v3 была тривиальной:

app.use(express.basicAuth('username', 'password'));

Версия 4 (я использую 4.2) удалила промежуточное программное обеспечение basicAuth, поэтому я немного застрял. У меня есть следующий код, но он не заставляет браузер запрашивать у пользователя учетные данные, что я хотел бы (и, как мне кажется, старый метод):

app.use(function(req, res, next) {
    var user = auth(req);

    if (user === undefined || user['name'] !== 'username' || user['pass'] !== 'password') {
        res.writeHead(401, 'Access invalid for user', {'Content-Type' : 'text/plain'});
        res.end('Invalid credentials');
    } else {
        next();
    }
});

ОТВЕТЫ

Ответ 1

Я использовал код для оригинала basicAuth, чтобы найти ответ:

app.use(function(req, res, next) {
    var user = auth(req);

    if (user === undefined || user['name'] !== 'username' || user['pass'] !== 'password') {
        res.statusCode = 401;
        res.setHeader('WWW-Authenticate', 'Basic realm="MyRealmName"');
        res.end('Unauthorized');
    } else {
        next();
    }
});

Ответ 2

Простая базовая аутентификация с ванильным JavaScript (ES6)

app.use((req, res, next) => {

  // -----------------------------------------------------------------------
  // authentication middleware

  const auth = {login: 'yourlogin', password: 'yourpassword'} // change this

  // parse login and password from headers
  const b64auth = (req.headers.authorization || '').split(' ')[1] || ''
  const [login, password] = new Buffer(b64auth, 'base64').toString().split(':')

  // Verify login and password are set and correct
  if (login && password && login === auth.login && password === auth.password) {
    // Access granted...
    return next()
  }

  // Access denied...
  res.set('WWW-Authenticate', 'Basic realm="401"') // change this
  res.status(401).send('Authentication required.') // custom message

  // -----------------------------------------------------------------------

})

примечание: это "промежуточное ПО" может использоваться в любом обработчике.Просто удалите next() и измените логику.См. Пример с 1 утверждением ниже или историю редактирования этого ответа.

Зачем?

  • req.headers.authorization содержит значение " Basic <base64 string> ", но оно также может быть пустым, и мы не хотим, чтобы оно терпело неудачу, поэтому странное сочетание || '' || ''
  • Узел не знает atob() и btoa(), следовательно, Buffer

ES6 → ES5

const просто var.. вид
(x, y) => {...} это просто function(x, y) {...}
const [login, password] =...split() - это всего лишь два var назначения в одном

источник вдохновения (использует пакеты)

Выше приведен очень простой пример, который должен был быть очень коротким и быстро развертываемым на сервере игровой площадки. Но, как было отмечено в комментариях, пароли также могут содержать символы двоеточия : Чтобы правильно извлечь его из b64auth, вы можете использовать это. 
  // parse login and password from headers
  const b64auth = (req.headers.authorization || '').split(' ')[1] || ''
  const strauth = new Buffer(b64auth, 'base64').toString()
  const splitIndex = strauth.indexOf(':')
  const login = strauth.substring(0, splitIndex)
  const password = strauth.substring(splitIndex + 1)

  // using shorter regex by @adabru
  // const [_, login, password] = strauth.match(/(.*?):(.*)/) || []

Базовая аутентификация в одном утверждении

... с другой стороны, если вы используете только один или очень мало имен входа, это необходимый минимум: (вам даже не нужно анализировать учетные данные вообще)

function (req, res) {
//btoa('yourlogin:yourpassword') -> "eW91cmxvZ2luOnlvdXJwYXNzd29yZA=="
//btoa('otherlogin:otherpassword') -> "b3RoZXJsb2dpbjpvdGhlcnBhc3N3b3Jk"

  // Verify credentials
  if (  req.headers.authorization !== 'Basic eW91cmxvZ2luOnlvdXJwYXNzd29yZA=='
     && req.headers.authorization !== 'Basic b3RoZXJsb2dpbjpvdGhlcnBhc3N3b3Jk')        
    return res.status(401).send('Authentication required.') // Access denied.   

  // Access granted...
  res.send('hello world')
  // or call next() if you use it as middleware (as snippet #1)
}

PS: вам нужно иметь как "безопасный", так и "публичный" путь? Попробуйте вместо этого использовать express.router.

var securedRoutes = require('express').Router()

securedRoutes.use(/* auth-middleware from above */)
securedRoutes.get('path1', /* ... */) 

app.use('/secure', securedRoutes)
app.get('public', /* ... */)

// example.com/public       // no-auth
// example.com/secure/path1 // requires auth

Ответ 3

Много промежуточного программного обеспечения было выведено из ядра Express в версии 4 и помещено в отдельные модули. Основной модуль auth находится здесь: https://github.com/expressjs/basic-auth-connect

В вашем примере вам просто нужно будет изменить это:

var basicAuth = require('basic-auth-connect');
app.use(basicAuth('username', 'password'));

Ответ 4

TL; DR:

express.basicAuth больше нет
basic-auth-connect устарела
basic-auth не имеет никакой логики
http-auth - это перебор
express-basic-auth - это то, что вы хотите

Больше информации:

Поскольку вы используете Express, вы можете использовать промежуточное программное обеспечение express-basic-auth.

Смотрите документы:

Пример:

const app = require('express')();
const basicAuth = require('express-basic-auth');

app.use(basicAuth({
    users: { admin: 'supersecret123' },
    challenge: true // <--- needed to actually show the login dialog!
}));

Ответ 5

Я изменил в express 4.0 базовую аутентификацию с http-auth, код:

var auth = require('http-auth');

var basic = auth.basic({
        realm: "Web."
    }, function (username, password, callback) { // Custom authentication method.
        callback(username === "userName" && password === "password");
    }
);

app.get('/the_url', auth.connect(basic), routes.theRoute);

Ответ 6

Кажется, существует несколько модулей, некоторые из них устарели.

Этот выглядит активным:
https://github.com/jshttp/basic-auth

Вот пример использования:

// auth.js

var auth = require('basic-auth');

var admins = {
  '[email protected]': { password: 'pa$$w0rd!' },
};


module.exports = function(req, res, next) {

  var user = auth(req);
  if (!user || !admins[user.name] || admins[user.name].password !== user.pass) {
    res.set('WWW-Authenticate', 'Basic realm="example"');
    return res.status(401).send();
  }
  return next();
};




// app.js

var auth = require('./auth');
var express = require('express');

var app = express();

// ... some not authenticated middlewares

app.use(auth);

// ... some authenticated middlewares

Убедитесь, что промежуточное программное обеспечение auth установлено в нужное место, любое промежуточное программное обеспечение до этого не будет завершено.

Ответ 7

Мы можем реализовать базовую авторизацию без необходимости использования модуля

//1.
var http = require('http');

//2.
var credentials = {
    userName: "vikas kohli",
    password: "vikas123"
};
var realm = 'Basic Authentication';

//3.
function authenticationStatus(resp) {
    resp.writeHead(401, { 'WWW-Authenticate': 'Basic realm="' + realm + '"' });
    resp.end('Authorization is needed');

};

//4.
var server = http.createServer(function (request, response) {
    var authentication, loginInfo;

    //5.
    if (!request.headers.authorization) {
        authenticationStatus (response);
        return;
    }

    //6.
    authentication = request.headers.authorization.replace(/^Basic/, '');

    //7.
    authentication = (new Buffer(authentication, 'base64')).toString('utf8');

    //8.
    loginInfo = authentication.split(':');

    //9.
    if (loginInfo[0] === credentials.userName && loginInfo[1] === credentials.password) {
        response.end('Great You are Authenticated...');
         // now you call url by commenting the above line and pass the next() function
    }else{

    authenticationStatus (response);

}

});
 server.listen(5050);

Источник: - http://www.dotnetcurry.com/nodejs/1231/basic-authentication-using-nodejs

Ответ 8

Express удалил эту функцию и теперь рекомендует использовать библиотеку basic-auth.

Вот пример использования:

var http = require('http')
var auth = require('basic-auth')

// Create server
var server = http.createServer(function (req, res) {
  var credentials = auth(req)

  if (!credentials || credentials.name !== 'aladdin' || credentials.pass !== 'opensesame') {
    res.statusCode = 401
    res.setHeader('WWW-Authenticate', 'Basic realm="example"')
    res.end('Access denied')
  } else {
    res.end('Access granted')
  }
})

// Listen
server.listen(3000)

Чтобы отправить запрос на этот маршрут, вам необходимо включить заголовок авторизации, отформатированный для базового auth.

Сначала отправляя запрос на завивание, вы должны взять base64 кодировку name:pass или в этом случае aladdin:opensesame, которая равна до YWxhZGRpbjpvcGVuc2VzYW1l

После этого ваш запрос будет выглядеть следующим образом:

 curl -H "Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l" http://localhost:3000/