AngularJS 受权 + Node.js REST api
做者好屌啊,我不懂的他全都懂。html
Authentication with AngularJS and a Node.js REST api前端
几个月前,我开始以为 AngularJS 好像好牛逼的样子,因而我决定开始干它,而且录下来给大家看。BlogJS 就是第一发。node
Blogjs 是个很是简单的 blog, 用 AngularJS,Node.js 和 MongoDB 写的。 你能够看看在线例子,点这里看前端,点这里看后台。用户名密码都是 demo 。git
而后你还能够从 github 上拿源码。angularjs
目的github
这个工程的目的在于,学习怎么建立一个基于 AngularJS 的认证受权机制,以及一个运行在 Node.js 服务端上的 RESTful api。咱们不能像原来那些老渣渣同样用 cookies 或者 session 来作验证机制。咱们用18岁的 token 机制。数据库
当用户把他的受权信息发过来的时候, Node.js 服务检查是否正确,而后返回一个基于用户信息的惟一 token 。 AngularJS 应用把 token 保存在用户的 SessionStorage ,以后的在发送请求的时候,在请求头里面加上包含这个 token 的 Authorization。若是 endpoint 须要确认用户受权,服务端检查验证这个 token,而后若是成功了就返回数据,若是失败了返回 401 或者其它的异常。另外, AngularJS 应用检查用户是否已经登录,若是没有,重定向到 login 页面。express
功能json
- 建立文章
- 编辑文章
- 删除文章
- 发布文章
- 撤回文章
- 按日期显示文章
- 按标签显示文章
- 认证受权
用到的技术api
- AngularJS
- Node.js(包括 express.js, express-jwt 和 moongoose)
- MongoDB
客户端 : AngularJS 部分
首先,咱们来建立咱们的 AdminUserCtrl controller 和处理 login/logout 动做。
<!-- lang: js -->
appControllers.controller('AdminUserCtrl', ['$scope', '$location', '$window', 'UserService', 'AuthenticationService',
function AdminUserCtrl($scope, $location, $window, UserService, AuthenticationService) {
//Admin User Controller (login, logout)
$scope.logIn = function logIn(username, password) {
if (username !== undefined && password !== undefined) {
UserService.logIn(username, password).success(function(data) {
AuthenticationService.isLogged = true;
$window.sessionStorage.token = data.token;
$location.path("/admin");
}).error(function(status, data) {
console.log(status);
console.log(data);
});
}
}
$scope.logout = function logout() {
if (AuthenticationService.isLogged) {
AuthenticationService.isLogged = false;
delete $window.sessionStorage.token;
$location.path("/");
}
}
}
]);
这个 controller 用了两个 service: UserService 和 AuthenticationService。第一个处理调用 REST api 用证书。后面一个处理用户的认证。它只有一个布尔值,用来表示用户是否被受权。
<!-- lang: js -->
appServices.factory('AuthenticationService', function() {
var auth = {
isLogged: false
}
return auth;
});
appServices.factory('UserService', function($http) {
return {
logIn: function(username, password) {
return $http.post(options.api.base_url + '/login', {username: username, password: password});
},
logOut: function() {
}
}
});
好了,咱们须要作张登录页面:
<!-- lang: js -->
<form class="form-horizontal" role="form">
<div class="form-group">
<label for="inputUsername" class="col-sm-4 control-label">Username</label>
<div class="col-sm-4">
<input type="text" class="form-control" id="inputUsername" placeholder="Username" ng-model="login.email">
</div>
</div>
<div class="form-group">
<label for="inputPassword" class="col-sm-4 control-label">Password</label>
<div class="col-sm-4">
<input type="password" class="form-control" id="inputPassword" placeholder="Password" ng-model="login.password">
</div>
</div>
<div class="form-group">
<div class="col-sm-offset-4 col-sm-10">
<button type="submit" class="btn btn-default" ng-click="logIn(login.email, login.password)">Log In</button>
</div>
</div>
</form>
当用户发送他的信息过来,咱们的 controller 把内容发送到 Node.js 服务器,若是信息可用,咱们把 AuthenticationService里面的 isLogged 设为 true。咱们把从服务端发过来的 token 存起来,以便下次请求的时候使用。等讲到 Node.js 的时候咱们会看看怎么处理。
好了,咱们要往每一个请求里面追加一个特殊的头信息了:[Authorization: Bearer <Stored Token>]。为了实现这个需求,咱们创建一个服务,叫 TokenInterceptor。
<!-- lang: js -->
appServices.factory('TokenInterceptor', function ($q, $window, AuthenticationService) {
return {
request: function (config) {
config.headers = config.headers || {};
if ($window.sessionStorage.token) {
config.headers.Authorization = 'Bearer ' + $window.sessionStorage.token;
}
return config;
},
response: function (response) {
return response || $q.when(response);
}
};
});
而后咱们把这个interceptor 追加到 $httpProvider :
<!-- lang: js -->
app.config(function ($httpProvider) {
$httpProvider.interceptors.push('TokenInterceptor');
});
而后,咱们要开始配置路由了,让 AngularJS 知道哪些须要受权,在这里,咱们须要检查用户是否已经被受权,也就是查看 AuthenticationService 的 isLogged 值。
<!-- lang: js -->
app.config(['$locationProvider', '$routeProvider',
function($location, $routeProvider) {
$routeProvider.
when('/', {
templateUrl: 'partials/post.list.html',
controller: 'PostListCtrl',
access: { requiredLogin: false }
}).
when('/post/:id', {
templateUrl: 'partials/post.view.html',
controller: 'PostViewCtrl',
access: { requiredLogin: false }
}).
when('/tag/:tagName', {
templateUrl: 'partials/post.list.html',
controller: 'PostListTagCtrl',
access: { requiredLogin: false }
}).
when('/admin', {
templateUrl: 'partials/admin.post.list.html',
controller: 'AdminPostListCtrl',
access: { requiredLogin: true }
}).
when('/admin/post/create', {
templateUrl: 'partials/admin.post.create.html',
controller: 'AdminPostCreateCtrl',
access: { requiredLogin: true }
}).
when('/admin/post/edit/:id', {
templateUrl: 'partials/admin.post.edit.html',
controller: 'AdminPostEditCtrl',
access: { requiredLogin: true }
}).
when('/admin/login', {
templateUrl: 'partials/admin.login.html',
controller: 'AdminUserCtrl',
access: { requiredLogin: false }
}).
when('/admin/logout', {
templateUrl: 'partials/admin.logout.html',
controller: 'AdminUserCtrl',
access: { requiredLogin: true }
}).
otherwise({
redirectTo: '/'
});
}]);
app.run(function($rootScope, $location, AuthenticationService) {
$rootScope.$on("$routeChangeStart", function(event, nextRoute, currentRoute) {
if (nextRoute.access.requiredLogin && !AuthenticationService.isLogged) {
$location.path("/admin/login");
}
});
});
服务端: Node.js + MongoDB 部分
为了在咱们的 RESTful api 处理受权信息,咱们要用到 express-jwt (JSON Web Token) 来生成一个惟一 Token,基于用户的信息。以及验证 Token。
首先,咱们在 MongoDB 里面建立一个用户的 Schema。咱们还要建立调用一个中间件,在建立和保存用户信息到数据库以前,用于加密密码。还有咱们须要一个方法来解密密码,当收到用户请求的时候,检查是否在数据库里面有匹配的。
<!-- lang: js -->
var Schema = mongoose.Schema;
// User schema
var User = new Schema({
username: { type: String, required: true, unique: true },
password: { type: String, required: true}
});
// Bcrypt middleware on UserSchema
User.pre('save', function(next) {
var user = this;
if (!user.isModified('password')) return next();
bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) {
if (err) return next(err);
bcrypt.hash(user.password, salt, function(err, hash) {
if (err) return next(err);
user.password = hash;
next();
});
});
});
//Password verification
User.methods.comparePassword = function(password, cb) {
bcrypt.compare(password, this.password, function(err, isMatch) {
if (err) return cb(err);
cb(isMatch);
});
};
而后咱们开始写受权用户和建立 Token 的方法:
<!-- lang: js -->
exports.login = function(req, res) {
var username = req.body.username || '';
var password = req.body.password || '';
if (username == '' || password == '') {
return res.send(401);
}
db.userModel.findOne({username: username}, function (err, user) {
if (err) {
console.log(err);
return res.send(401);
}
user.comparePassword(password, function(isMatch) {
if (!isMatch) {
console.log("Attempt failed to login with " + user.username);
return res.send(401);
}
var token = jwt.sign(user, secret.secretToken, { expiresInMinutes: 60 });
return res.json({token:token});
});
});
};
最后,咱们须要把 jwt 中间件加到全部的,访问时须要受权的路由上面:
<!-- lang: js -->
/*
Get all published posts
*/
app.get('/post', routes.posts.list);
/*
Get all posts
*/
app.get('/post/all', jwt({secret: secret.secretToken}), routes.posts.listAll);
/*
Get an existing post. Require url
*/
app.get('/post/:id', routes.posts.read);
/*
Get posts by tag
*/
app.get('/tag/:tagName', routes.posts.listByTag);
/*
Login
*/
app.post('/login', routes.users.login);
/*
Logout
*/
app.get('/logout', routes.users.logout);
/*
Create a new post. Require data
*/
app.post('/post', jwt({secret: secret.secretToken}), routes.posts.create);
/*
Update an existing post. Require id
*/
app.put('/post', jwt({secret: secret.secretToken}), routes.posts.update);
/*
Delete an existing post. Require id
*/
app.delete('/post/:id', jwt({secret: secret.secretToken}), routes.posts.delete);
如今你的应用就只对受权用户开放了。若是你有什么问题的话,射我一tweet: @kdelemme 。
相关文章
- 1. Spring REST API + OAuth2 + AngularJS
- 2. [译] Spring REST API + OAuth2 + AngularJS
- 3. [Node.js] 08 - Web Server and REST API
- 4. Hadoop Yarn REST API未受权漏洞利用挖矿分析
- 5. Spring Boot+JWT+Spring Security实现受权认证保护Rest API
- 6. wp rest api 受权方法步骤(使用JWT Authentication插件)
- 7. Httpclient 请求带Authorization(受权)的REST API 返回JSON数据
- 8. Rest API
- 9. rest-assured之认证受权(Authentication)
- 10. HTTP API 认证受权术
- 更多相关文章...
- • Docker 安装 Node.js - Docker教程
- • Rust 所有权 - RUST 教程
- • Docker容器实战(八) - 漫谈 Kubernetes 的本质
- • Github 简明教程
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. eclipse设置粘贴字符串自动转义
- 2. android客户端学习-启动模拟器异常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout问题
- 4. MYSQL8.0数据库恢复 MYSQL8.0ibd数据恢复 MYSQL8.0恢复数据库
- 5. 你本是一个肉体,是什么驱使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一个肉体,是什么驱使你前行【3】
- 9. 你本是一个肉体,是什么驱使你前行【2】
- 10. 【资讯】LocalBitcoins达到每周交易比特币的7年低点
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Spring REST API + OAuth2 + AngularJS
- 2. [译] Spring REST API + OAuth2 + AngularJS
- 3. [Node.js] 08 - Web Server and REST API
- 4. Hadoop Yarn REST API未受权漏洞利用挖矿分析
- 5. Spring Boot+JWT+Spring Security实现受权认证保护Rest API
- 6. wp rest api 受权方法步骤(使用JWT Authentication插件)
- 7. Httpclient 请求带Authorization(受权)的REST API 返回JSON数据
- 8. Rest API
- 9. rest-assured之认证受权(Authentication)
- 10. HTTP API 认证受权术