无密码身份验证：安全、简单且部署快速

Passwordless authentication: Secure, simple, and fast to deploy

【编者按】本文做者为 Florian Heinemann 与 Robert Nyman。Florian 来自 MIT 系统设计与管理学院，专一于复杂的社交技术系统。此前曾在企业软件领域的多家初创公司工做，以后加入 Airbus，担任知识与创新管理经理一职。Robert 是 Mozilla Hacks 技术传道师及编辑。曾就 HTML5，JavaScript 以及 Open Web 发表过屡次谈话与博文。Robert 坚决地看好 HTML5 与 Open Web，自1995年就开始在 Front End 开发部门研究 Web 技术。

本文系 OneAPM 工程师编译呈现，如下为正文。

Passwordless（无密码）是用于 Node.js 程序的一种身份验证中间件，能提升用户安全水平，同时具有部署简单、快速的特色。

过去几个月，对热衷于 Web 安全与保密性的人来讲，着实激动人心：出现了许多了不得的文章、讨论，还有许多事件，都在提升人们的安全意识。

然而，大多数网站仍在使用最先期的 web 身份验证方式：用户名与密码。

尽管用户名密码这种身份验证方式的确占据了一席之地，但若是觉得这是全部项目的终极选择，咱们便应该更加谨慎了。咱们知道，大多数人在访问网站时都使用同一套密码。对于那些缺乏安全专家支持的 web 项目，若是用户在该网站的密码遭到泄露，那就可能伤及他的 Amazon 帐户，咱们真的要让用户承担这种风险么？此外，这种经典的身份验证机制至少存在两种攻击角度：登陆页与密码找回页。并且，后者的实现每每在匆忙中进行，于是风险更高。

最近，咱们看到了许多不错的点子。笔者尤为对一个直观并且低技术含量的解决方法感兴趣：一次性密码。这种方法部署快速，攻击面小，并且不须要 QR codes 或 JavaScript。不管什么时候，用户想要登陆或使以前的会话失效，均可以经过电子邮件或短信息收到一个短期有效的一次性连接与令牌(token)。若是你想试一试，能够下载passwordless.net中的演示代码。

不幸的是，因为技术栈的差异，基本上不存在现成的解决方案。所以，Passwordless 针对 Node.js 作出了一些改动。

从 Node.js 与 Express 入手

Passwordless 入门很是简单。两个小时之内，你就能学会部署全面且安全的身份验证解决方案：

$ npm install passwordless --save

获取基本的框架。你还要安装某个现成的存储接口，好比 MongoStore，用于安全地存储令牌。

$ npm install passwordless-mongostore --save

在传送令牌给用户时，电子邮件一般是最好的选择（不过，短消息也能够）。你能够任意选择邮件框架，好比：

$ npm install emailjs --save

基本设置

首先，请求上文用到的全部模块，将它们放在用于初始化 Express 的同一个文件中：

var passwordless = require('passwordless');
var MongoStore = require('passwordless-mongostore');
var email   = require("emailjs");

若是你选用 emailjs 进行令牌传递，此时应该与邮箱帐户进行链接（好比：Gmail 帐户）：

var smtpServer  = email.server.connect({
   user:    yourEmail,
   password: yourPwd,
   host:    yourSmtp,
   ssl:     true
});

最后的一个预备步骤是告知 Passwordless 你选择了哪种存储接口，并将之初始化：

// Your MongoDB TokenStore
var pathToMongoDb = 'mongodb://localhost/passwordless-simple-mail';
passwordless.init(new MongoStore(pathToMongoDb));

传递令牌

函数 passwordless.addDelivery(deliver) 会添加新的传送机制。每次须要传送令牌时，就会调用deliver。默认状况下，你选择的机制应该按照如下格式为用户提供连接：

http://www.example.com/token={TOKEN}&uid={UID}

deliver 在调用时，须要所有的细节信息。所以，令牌的传递（在本例中，使用的是 emailjs）以下所示，至关简单：

passwordless.addDelivery(
    function(tokenToSend, uidToSend, recipient, callback) {
        var host = 'localhost:3000';
        smtpServer.send({
            text:    'Hello!nAccess your account here: http://'
            + host + '?token=' + tokenToSend + '&uid='
            + encodeURIComponent(uidToSend),
            from:    yourEmail,
            to:      recipient,
            subject: 'Token for ' + host
        }, function(err, message) {
            if(err) {
                console.log(err);
            }
            callback(err);
        });
});

初始化 Express 中间件

app.use(passwordless.sessionSupport());
app.use(passwordless.acceptToken({ successRedirect: '/'}));

函数 sessionSupport() 会使登陆状态获得保持，所以，用户在浏览网站时才能一直处于登陆状态。请确保你已经提早准备好了会话中间件（好比express-session）。

函数 acceptToken() 会截获任何外来的令牌，验证用户身份，再将他们重定向至正确的页面。尽管 successRedirect 选项不是严格要求的，但笔者强烈建议你使用此选项，从而避免合法令牌经过网站向外的 HTTP 连接的 header 来源泄露出去。

路径选择与身份验证

下文默认你已经经过 var router = express.Router(); 配置好路径选择器。此外，express 文档中也有相应的说明。

你至少须要两个 URLs，从而：

• 展现用于获取用户邮箱地址的页面

• 获取表格细节（经过 POST 方法）

/* GET: login screen */
router.get('/login', function(req, res) {
   res.render('login');
});</p>
 
/* POST: login details */
router.post('/sendtoken',
    function(req, res, next) {
        // TODO: Input validation
    },
    // Turn the email address into a user ID
    passwordless.requestToken(
        function(user, delivery, callback) {
            // E.g. if you have a User model:
            User.findUser(email, function(error, user) {
                if(error) {
                    callback(error.toString());
                } else if(user) {
                    // return the user ID to Passwordless
                    callback(null, user.id);
                } else {
                    // If the user couldn’t be found: Create it!
                    // You can also implement a dedicated route
                    // to e.g. capture more user details
                    User.createUser(email, '', '',
                        function(error, user) {
                            if(error) {
                                callback(error.toString());
                            } else {
                                callback(null, user.id);
                            }
                    })
                }
        })
    }),
    function(req, res) {
        // Success! Tell your users that their token is on its way
        res.render('sent');
});

此处有何猫腻？passwordless.requestToken(getUserId) 的任务有二：第1、确保邮箱地址真实存在。第2、将该地址转变为独一无二的用户 ID，经过邮件一并发送，并在以后用于验证用户身份。一般，你都有一套存储用户细节信息的模型，你能够按照上例的说明，进行简单的设置。

在一些状况下（例如，由两个用户编辑过的博客），你能够跳过用户模型，将他们有效的邮箱地址与其各自的 ID 相联系：

var users = [
    { id: 1, email: 'marc@example.com' },
    { id: 2, email: 'alice@example.com' }
];
 
/* POST: login details */
router.post('/sendtoken',
    passwordless.requestToken(
        function(user, delivery, callback) {
            for (var i = users.length - 1; i >= 0; i--) {
                if(users[i].email === user.toLowerCase()) {
                    return callback(null, users[i].id);
                }
            }
            callback(null, null);
        }),
        // Same as above…

HTML 页面

本例只须要一个简单的 HTML 页面，用以获取用户的邮箱地址。默认状况下，Passwordless 会查找 user 输入栏中的内容：

<html>
    <body>
        <h1>Login</h1>
        <form action="/sendtoken" method="POST">
            Email:
            <br /><input name="user" type="text">
            <br /><input type="submit" value="Login">
        </form>
    </body>
</html>

保护网页

Passwordless 提供了能确保只有验证用户才能看到指定页面的中间件：

/* Protect a single page */
router.get('/restricted', passwordless.restricted(),
 function(req, res) {
  // render the secret page
});
 
/* Protect a path with all its children */
router.use('/admin', passwordless.restricted());

谁处于登陆状态？

默认状况下，Passwordless 容许经过请求对象 req.user 获取用户 ID。想要展现或重用此 ID，或从数据库中获得更多细节信息，你能够这么实现：

router.get('/admin', passwordless.restricted(),
    function(req, res) {
        res.render('admin', { user: req.user });
});

或者，更通常化地，你能够添加另外一个中间件，从模型中抽取出某个用户的所有记录，再将其分配给网站中的任意路径：

app.use(function(req, res, next) {
    if(req.user) {
        User.findById(req.user, function(error, user) {
            res.locals.user = user;
            next();
        });
    } else {
        next();
    }
})

到此为止啦！

以上就是安全地验证用户身份的简单方法。若想了解更多细节，你能够查看深刻剖析，从而了解全部的可选项，以及将上述知识整合为一套可行的解决方案的案例。

点评

如前所示，全部的身份验证系统都有其优缺点。你应该按照本身的需求进行合理的选择。基于令牌的验证方式，与绝大多数解决方法（包括经典的用户名/密码方法）同样，都存在一个风险：若是用户的邮箱帐户被盗用，而且/或者 SMTP 服务器与用户的链接被入侵，用户在网站的帐户就会随之遭到盗用。默认状况下，有两种办法能够减弱该风险（但不是彻底避免）：短期有效的令牌以及令牌在使用后自动失效。

对大多数网站而言，基于令牌的身份验证方法表明着走向安全的进步：用户无需再想新的密码（这些密码每每很是简单），也不存在用户重用密码的风险。对于身为开发者的咱们，Passwordless 提供了惟一一种（且至关简单的）身份验证解决方案，该方案易于理解，所以容易保护。此外，咱们也无需再处理用户的密码了。

另外一个值得讨论的点是可用性。咱们应该同时考虑两种状况：用户在网站的首次使用以及后续的登陆。对首次用户而言，基于令牌的身份验证很是直观：与经典的登陆机制同样，他们仍是不得不验证邮箱地址。可是，在最佳案例中，除此以外就不须要其余细节信息了。不须要再煞费苦心地想一个符合全部限制条件的密码，也不须要刻意记住密码。若是用户再次登陆，其体验与特定的用户案例有关。大多数网站的会话有效期都很长，于是不须要再次登陆。或者，用户访问该网站的频率其实很是低，以至于他们想不起来本身是否已经拥有帐户，或者忘记了帐户密码。在这种状况下，Passwordless 在可用性方面的优点至关明显。一样地，这须要经历很少的几个步骤，解释起来也很是简单。然而，那些用户访问频繁的网站，以及/或那些要求用户一周内手动登陆几回的网站（好比 Amazon），经典的身份验证（或更保险地：双重验证）或许更加适合。由于用户极可能会真的记住他们的密码，而且意识到好密码的重要性。

尽管 Passwordless 目前比较稳定，笔者仍是很是期待你能在 GitHub 留下评论或一些贡献，或者在 Twitter：@thesumofall 上提问笔者。

原文地址：https://hacks.mozilla.org/2014/10/passwo...

OneAPM 助您轻松锁定 Node.js 应用性能瓶颈，经过强大的 Trace 记录逐层分析，直至锁定行级问题代码。以用户角度展现系统响应速度，以地域和浏览器维度统计用户使用状况。想阅读更多技术文章，请访问 OneAPM 官方博客。

本文转自 OneAPM 官方博客