Passwordless authentication: Secure, simple, and fast to deploy
然而,大多数网站仍在使用最早期的 web 身份验证方式:用户名与密码。
从 Node.js 与 Express 入手
Passwordless 入门非常简单。两个小时以内,你就能学会部署全面且安全的身份验证解决方案:
$ npm install passwordless --save
$ npm install passwordless-mongostore --save
在传送令牌给用户时,电子邮件通常是最好的选择(不过,短消息也可以)。你可以任意选择邮件框架,比如:
$ npm install emailjs --save
基本设置
首先,请求上文用到的所有模块,将它们放在用于初始化 Express 的同一个文件中:
var passwordless = require('passwordless');
var MongoStore = require('passwordless-mongostore');
var email = require("emailjs");
var smtpServer = email.server.connect({
user: yourEmail,
password: yourPwd,
host: yourSmtp,
ssl: true
});
最后的一个预备步骤是告知 Passwordless 你选择了哪一种存储接口,并将之初始化:
// Your MongoDB TokenStore
var pathToMongoDb = 'mongodb://localhost/passwordless-simple-mail';
passwordless.init(new MongoStore(pathToMongoDb));
传递令牌
函数 passwordless.addDelivery(deliver) 会添加新的传送机制。每次需要传送令牌时,就会调用deliver。默认情况下,你选择的机制应该按照以下格式为用户提供链接:
deliver 在调用时,需要全部的细节信息。因此,令牌的传递(在本例中,使用的是 emailjs)如下所示,相当简单:
passwordless.addDelivery(
function(tokenToSend, uidToSend, recipient, callback) {
var host = 'localhost:3000';
smtpServer.send({
text: 'Hello!nAccess your account here: http://'
+ host + '?token=' + tokenToSend + '&uid='
+ encodeURIComponent(uidToSend),
from: yourEmail,
to: recipient,
subject: 'Token for ' + host
}, function(err, message) {
if(err) {
console.log(err);
}
callback(err);
});
});
初始化 Express 中间件
app.use(passwordless.sessionSupport());
app.use(passwordless.acceptToken({ successRedirect: '/'}));
函数 acceptToken() 会截获任何外来的令牌,验证用户身份,再将他们重定向至正确的页面。尽管 successRedirect 选项不是严格要求的,但笔者强烈建议你使用此选项,从而避免合法令牌通过网站向外的 HTTP 链接的 header 来源泄露出去。
路径选择与身份验证
你至少需要两个 URLs,从而:
- 展示用于获取用户邮箱地址的页面
- 获取表格细节(通过 POST 方法)
/* GET: login screen */
router.get('/login', function(req, res) {
res.render('login');
});</p>
/* POST: login details */
router.post('/sendtoken',
function(req, res, next) {
// TODO: Input validation
},
// Turn the email address into a user ID
passwordless.requestToken(
function(user, delivery, callback) {
// E.g. if you have a User model:
User.findUser(email, function(error, user) {
if(error) {
callback(error.toString());
} else if(user) {
// return the user ID to Passwordless
callback(null, user.id);
} else {
// If the user couldn’t be found: Create it!
// You can also implement a dedicated route
// to e.g. capture more user details
User.createUser(email, '', '',
function(error, user) {
if(error) {
callback(error.toString());
} else {
callback(null, user.id);
}
})
}
})
}),
function(req, res) {
// Success! Tell your users that their token is on its way
res.render('sent');
});
此处有何猫腻?passwordless.requestToken(getUserId) 的任务有二:第一、确保邮箱地址真实存在。第二、将该地址转变为独一无二的用户 ID,通过邮件一并发送,并在之后用于验证用户身份。通常,你都有一套存储用户细节信息的模型,你可以按照上例的说明,进行简单的设置。
在一些情况下(例如,由两个用户编辑过的博客),你可以跳过用户模型,将他们有效的邮箱地址与其各自的 ID 相联系:
var users = [
{ id: 1, email: },
{ id: 2, email: }
];
/* POST: login details */
router.post('/sendtoken',
passwordless.requestToken(
function(user, delivery, callback) {
for (var i = users.length - 1; i >= 0; i--) {
if(users[i].email === user.toLowerCase()) {
return callback(null, users[i].id);
}
}
callback(null, null);
}),
// Same as above…
HTML 页面
本例只需要一个简单的 HTML 页面,用以获取用户的邮箱地址。默认情况下,Passwordless 会查找 user 输入栏中的内容:
<html>
<body>
<h1>Login</h1>
<form action="/sendtoken" method="POST">
Email:
<br /><input name="user" type="text">
<br /><input type="submit" value="Login">
</form>
</body>
</html>
保护网页
Passwordless 提供了能确保只有验证用户才能看到指定页面的中间件:
/* Protect a single page */
router.get('/restricted', passwordless.restricted(),
function(req, res) {
// render the secret page
});
/* Protect a path with all its children */
router.use('/admin', passwordless.restricted());
谁处于登录状态?
默认情况下,Passwordless 允许通过请求对象 req.user 获取用户 ID。想要展示或重用此 ID,或从数据库中得到更多细节信息,你可以这么实现:
router.get('/admin', passwordless.restricted(),
function(req, res) {
res.render('admin', { user: req.user });
});
或者,更一般化地,你可以添加另一个中间件,从模型中抽取出某个用户的全部记录,再将其分配给网站中的任意路径:
app.use(function(req, res, next) {
if(req.user) {
User.findById(req.user, function(error, user) {
res.locals.user = user;
next();
});
} else {
next();
}
})
到此为止啦!
点评
如前所示,所有的身份验证系统都有其优缺点。你应该按照自己的需求进行合理的选择。基于令牌的验证方式,与绝大多数解决方法(包括经典的用户名/密码方法)一样,都存在一个风险:如果用户的邮箱账户被盗用,并且/或者 SMTP 服务器与用户的连接被入侵,用户在网站的账户就会随之遭到盗用。默认情况下,有两种办法可以减弱该风险(但不是完全避免):短时间有效的令牌以及令牌在使用后自动失效。
对大多数网站而言,基于令牌的身份验证方法代表着走向安全的进步:用户无需再想新的密码(这些密码往往非常简单),也不存在用户重用密码的风险。对于身为开发者的我们,Passwordless 提供了唯一一种(且相当简单的)身份验证解决方案,该方案易于理解,因此容易保护。此外,我们也无需再处理用户的密码了。
另一个值得讨论的点是可用性。我们应该同时考虑两种情况:用户在网站的首次使用以及后续的登录。对首次用户而言,基于令牌的身份验证非常直观:与经典的登录机制一样,他们还是不得不验证邮箱地址。但是,在最佳案例中,除此之外就不需要其他细节信息了。不需要再煞费苦心地想一个符合所有限制条件的密码,也不需要刻意记住密码。如果用户再次登录,其体验与特定的用户案例有关。大多数网站的会话有效期都很长,因而不需要再次登录。或者,用户访问该网站的频率其实非常低,以致于他们想不起来自己是否已经拥有账户,或者忘记了账户密码。在这种情况下,Passwordless 在可用性方面的优势相当明显。同样地,这需要经历不多的几个步骤,解释起来也非常简单。然而,那些用户访问频繁的网站,以及/或那些要求用户一周内手动登录几次的网站(比如 Amazon),经典的身份验证(或更保险地:双重验证)或许更加适合。因为用户很可能会真的记住他们的密码,并且意识到好密码的重要性。