Перенаправление на предыдущую страницу после аутентификации в node.js с помощью паспорта.js

102

Я пытаюсь установить механизм входа в систему с помощью node.js, express и паспорта.js. Сам логин работает довольно хорошо, также сеансы хорошо хранятся с помощью redis, но у меня есть некоторые проблемы с перенаправлением пользователя туда, откуда он начал, до того, как мне будет предложено пройти аутентификацию.

например, пользователь переходит по ссылке http://localhost:3000/hidden, затем перенаправляется, http://localhost:3000/loginно затем я хочу, чтобы он был снова перенаправлен обратно http://localhost:3000/hidden.

Цель этого состоит в том, что если пользователь получает случайный доступ к странице, которую ему нужно сначала авторизовать, он должен быть перенаправлен на сайт / login, предоставив свои учетные данные, а затем перенаправлен обратно на сайт, к которому он ранее пытался получить доступ.

Вот мой пост для входа

app.post('/login', function (req, res, next) {
    passport.authenticate('local', function (err, user, info) {
        if (err) {
            return next(err)
        } else if (!user) { 
            console.log('message: ' + info.message);
            return res.redirect('/login') 
        } else {
            req.logIn(user, function (err) {
                if (err) {
                    return next(err);
                }
                return next(); // <-? Is this line right?
            });
        }
    })(req, res, next);
});

и вот мой метод проверки подлинности

function ensureAuthenticated (req, res, next) {
  if (req.isAuthenticated()) { 
      return next();
  }
  res.redirect('/login');
}

который зацепляется за /hiddenстраницу

app.get('/hidden', ensureAuthenticated, function(req, res){
    res.render('hidden', { title: 'hidden page' });
});

Вывод html для сайта входа довольно прост.

<form method="post" action="/login">

  <div id="username">
    <label>Username:</label>
    <input type="text" value="bob" name="username">
  </div>

  <div id="password">
    <label>Password:</label>
    <input type="password" value="secret" name="password">
  </div>

  <div id="info"></div>
    <div id="submit">
    <input type="submit" value="submit">
  </div>

</form>
Alx
источник
Привет, я тоже делаю то же самое, с той лишь разницей, что когда пользователь успешно входит в систему, я перенаправляю на страницу welcome.html с сообщением типа «Добро пожаловать». слышу, что UserName будет его / ее LoginName. Вы можете показать мне, как передать значение текстового поля на следующую страницу ??
Друмил Шах
не зная многого, я бы просто пропустил это. Согласно моему примеру, это может быть: res.render ('скрытый', {заголовок: 'скрытая страница', имя пользователя: 'Тирион Ланнистер'});
Alx

Ответы:

84

Не знаю, как насчет паспорта, но вот как я это делаю:

У меня есть промежуточное ПО, которое я использую с app.get('/account', auth.restrict, routes.account)этими наборами redirectToв сеансе ... затем я перенаправляю на / login

auth.restrict = function(req, res, next){
    if (!req.session.userid) {
        req.session.redirectTo = '/account';
        res.redirect('/login');
    } else {
        next();
    }
};

Затем routes.login.postя делаю следующее:

var redirectTo = req.session.redirectTo || '/';
delete req.session.redirectTo;
// is authenticated ?
res.redirect(redirectTo);
чови
источник
Спасибо за ваш ответ. Разве вы не устанавливаете перенаправление / учетную запись прямо в коде? Что произойдет, если у вас будет другая ссылка, скажем, / pro_accounts, использующая тот же auth.restrict, они будут перенаправлены на / account ....
Alx
4
Это правда. Я всегда перенаправляю на / account после входа в систему, но вы можете заменить его наreq.session.redirect_to = req.path
chovy
1
хм .. это не совсем то, что я ищу. Я вызываю sureAuthenticated, чтобы выяснить, авторизован ли пользователь уже или нет, если нет, он перенаправляется на / login. С этой точки зрения мне нужен способ вернуться к / account. Вызов req.path внутри / login дает мне простой / login обратно. Использование referer также не работает, плюс не совсем уверен, правильно ли браузер устанавливает referer ...
Alx
6
Вам нужно установить req.session.redirect_to = req.pathвнутри вашего промежуточного программного обеспечения auth. Затем прочтите его и удалите в login.postмаршруте.
chovy
это не лучшее решение для паспорта, который принимает successRedirect в качестве опции в момент, когда запрос недоступен
linuxdan
112

В вашем ensureAuthenticatedметоде сохраните URL-адрес возврата в сеансе следующим образом:

...
req.session.returnTo = req.originalUrl; 
res.redirect('/login');
...

Затем вы можете обновить свой маршрут Passport.authenticate примерно так:

app.get('/auth/google/return', passport.authenticate('google'), function(req, res) {
    res.redirect(req.session.returnTo || '/');
    delete req.session.returnTo;
}); 
linuxdan
источник
7
Работал на первом проходе, но мне нужно было добавить следующее после перенаправления в маршрут паспорта .authenticate, чтобы избежать возврата на адрес returnTo после последующего выхода / входа в систему: req.session.returnTo = null;см. Этот вопрос для получения дополнительной информации о выходе из системы по умолчанию для паспорта, который, при проверке источника, кажется, очищается только session.user, а не весь сеанс.
Роб Андрен
могу я просто передать запрос вроде? callback = / profile вместо сеанса
OMGPOP
@OMGPOP вы, вероятно, могли бы, но это звучит не очень безопасно, есть ли причина, по которой вы не хотите использовать сеанс?
linuxdan
@linuxdan совсем нет. но просто сложно извлечь ссылку перенаправления и поместить в сеанс, а затем, когда пользователь перенаправляет обратно, назначить обратно ссылку перенаправления из сеанса
OMGPOP
5
Вместо этого req.pathя бы использовал, req.originalUrlпоскольку это комбинация baseUrl и пути, см. Документацию
matthaeus
14

Взгляните на connect-sure-login , который работает вместе с Passport, чтобы делать именно то, что вы хотите!

Джаред Хэнсон
источник
7

Мой способ делать вещи:

const isAuthenticated = (req, res, next) => {
  if (req.isAuthenticated()) {
    return next()
  }
  res.redirect( `/login?origin=${req.originalUrl}` )
};

GET / логин контроллер:

if( req.query.origin )
  req.session.returnTo = req.query.origin
else
  req.session.returnTo = req.header('Referer')

res.render('account/login')

Контроллер POST / входа :

  let returnTo = '/'
  if (req.session.returnTo) {
    returnTo = req.session.returnTo
    delete req.session.returnTo
  }

  res.redirect(returnTo);

Контроллер POST / выхода из системы (не уверен, все ли в порядке, комментарии приветствуются):

req.logout();
res.redirect(req.header('Referer') || '/');
if (req.session.returnTo) {
  delete req.session.returnTo
}

Очистить промежуточное ПО returnTo (очищает returnTo из сеанса на любом маршруте, кроме маршрутов авторизации - для меня это / login и / auth /: provider):

String.prototype.startsWith = function(needle)
{
  return(this.indexOf(needle) == 0)
}

app.use(function(req, res, next) {
  if ( !(req.path == '/login' || req.path.startsWith('/auth/')) && req.session.returnTo) {
    delete req.session.returnTo
  }
  next()
})

У этого подхода есть две особенности :

  • вы можете защитить некоторые маршруты с помощью isAuthenticated промежуточного программного обеспечения ;
  • на любой странице вы можете просто щелкнуть URL-адрес входа и после входа вернуться на эту страницу;
Deksden
источник
Здесь было так много хороших отзывов, что я смог использовать ваш пример и заставил его работать с моим проектом. Спасибо!
user752746 02
5

Если вы используете connect-sure-login, существует очень простой интегрированный способ сделать это с помощью Passport с помощью successReturnToOrRedirectпараметра. При использовании паспорт отправит вас обратно на первоначально запрошенный URL-адрес или откат к указанному вами URL-адресу.

router.post('/login', passport.authenticate('local', {
  successReturnToOrRedirect: '/user/me',
  failureRedirect: '/user/login',
  failureFlash: true
}));

https://github.com/jaredhanson/connect-ensure-login#log-in-and-return-to

игнозавр
источник
Это похоже на дубликат ответа @ jaredhanson
mikemaccana
1

В ответах @chovy и @linuxdan есть ошибка, из- за которой не очищается, session.returnToесли пользователь переходит на другую страницу после перенаправления входа (это не требует аутентификации) и входа через нее. Так что добавьте этот код к их реализациям:

// clear session.returnTo if user goes to another page after redirect to login
app.use(function(req, res, next) {
    if (req.path != '/login' && req.session.returnTo) {
        delete req.session.returnTo
    }
    next()
})

Если вы выполняете некоторые запросы ajax со страницы входа, вы также можете их исключить.


Другой подход - использовать вспышку вensureAuthenticated

req.flash('redirectTo', req.path)
res.redirect('/login')

А затем в GET логин

res.render('login', { redirectTo: req.flash('redirectTo') })

В поле зрения добавить скрытое поле в форму входа (пример в нефрите)

if (redirectTo != '')
    input(type="hidden" name="redirectTo" value="#{redirectTo}")

В POST логин

res.redirect(req.body.redirectTo || '/')

Обратите внимание, что redirectTo будет очищен после первого входа в систему с ним.

Александр Данилов
источник
0

Самый простой (и правильный) способ добиться этого - это настройки failureRedirectи successRedirectпараметры .

Eray
источник
Вы можете уточнить? Я вижу, successRedirectчто их используют на обратном маршруте, но тогда предполагаемый пункт назначения (то есть returnToвыше) будет потерян, верно?
Tom