摘要:即便是使用为主作为服务端开发在项目中也会经常用到要去其他的系统调用服务的场景。对于服务端调用的场景加上这个基本认证也会比在前端直接使用这种比较空的更加合适。本文将介绍使用在服务端调用时面对最基本的认证认证的处理方式。
前言
Node作为前后端分离的”利器“由于它使用JS语法的特殊性,可以使得前端更好的利用Node来作为中间层十分方便得调用后台提供的“黑盒”API。即便是使用Node为主作为服务端开发在项目中也会经常用到要去其他的系统调用服务的场景。
请求的认证一直是一个web系统很重要的一环,直接关系到了系统的安全。对于Node在服务端方面,稍微复杂的认证机制使用的最多的就是passport模块,通过它强大而又灵活的Strategy机制,官方同时也提供了很多策略满足很多常见的场景。当然今天的主题是最简单的基础认证 HTTP Basic Authentication,提供了对http最为基础的认证策略,即用户名和密码。对于服务端调用API的场景加上这个基本认证也会比在前端直接使用这种比较“空”的更加合适。
本文将介绍使用Node在服务端调用API时面对最基本的HTTP认证 -- HTTP Basic Authentication认证的处理方式。即不同的服务端http client诸如axios, request, restler的使用。
HTTP Basic Authentication首先对HTTP Basic Authentication这个最简单的http认证形式进行简单介绍
上图所示,在客户端进行资源请求的时候由于该接口API设置了http基本认证对资源的访问进行了限制,则客户端必须提供用户名和密码并且服务端验证通过时才会得到资源。
实现下面将使用使用express搭建一个简单的需要基本认证的接口,需要说明的是在express3中express还集成了很丰富的中间件系统,比如你可以直接通过app.use(express.basicAuth("username", "password"));来设置一个基本认证。在express4开始由于分离了中间件系统,你需要多出一步手动安装basic-auth中间件的过程。
//app.js const express = require("express") const basicAuth = require("basic-auth") const bodyParser = require("body-parser") const app = express(); app.use(bodyParser.json()) app.use(bodyParser.urlencoded({ extended:true })) app.all("/api", function (req, res) { const credentials = basicAuth(req) if (!credentials || credentials.name !== "ray" || credentials.pass !== "123") { res.statusCode = 401 res.setHeader("WWW-Authenticate", "Basic realm="example"") res.end("go away") } else { console.log(req.body) if(req.body.need && req.body.need === "money"){ res.json({ key: "show me the money" }); }else{ res.json({ key: "show me the gold" }) } } }); app.listen(3000, function () { console.log("Example app listening on port 3000!"); });
先简单的搭建起一个提供api的服务器,当你执行node app.js之后访问localhost:3000/api的时候就会看到浏览器弹出让你输入用户名和密码的对话框,你如果点击了取消,即不提供用户名和密码,或者错误密码,就会验证失败,你将看到‘go away’。当你提供了正确的密码则将得到"show me the gold"。
值得一提的是,express的搭建中,我使用了body-parser这个中间件,原因是接下来我们使用node在服务端请求api的时候会使用POST方法传递参数,即我想得到的是"show me the money"这句话。而http的post请求默认的数据格式是www-form-urlencoded解析的时候需要bodyParser.urlencoded支持。
在服务端调用API其实在Node端可以用的http client模块有很多,比如可以使用pipe进行流式操作的request,以及我现在在做的项目中使用的restler,当然还有现在很火爆的前后端都可以使用,并且基于现代异步基础--Promise的axios,接下来就介绍对于这三个模块在服务端去请求一个设了HTTP Basic Authentication认证的API接口,就是从我们上面用express搭起来的简单的服务器得到"show me the money"这句话。
request模块npm install --save request安装request模块到我们项目目录,然后新建req.js文件。
//req.js const request = require("request") request.post("http://localhost:3000/api", { "auth": { "user": "ray", "pass": "123", "sendImmediately": false }, "form": { need: "money" } }, function (err, httpResponse, data) { if (err) { console.log(err); } else { console.log(`data:${data}`) } })
request模块本身体积确实有点大,上面使用它的post方法,通过在第二个参数对象中写上auth属性提供对http基础认证所需要的用户名和密码,第二个属性form就是放在请求的body中的类型为application/x-www-form-urlencoded参数,将会被我们的express服务器通过req.body解析到,当然,需要bodyParser.urlencoded()提供支持。
接下来,先node app.js开启我们的服务器,之后你再去node req.js运行这个文件你就会看到data:{"key":"you get the money"}了
axios模块npm install --save axios,新建axi.js
//axi.js const axios = require("axios") axios({ url: "http://localhost:3000/api", method: "post", auth: { username: "ray", password: "123" }, data: { need: "money" } }) .then((response) => { console.log(response.data) }) .catch(function (error) { console.log(error); });
axios最大的特点就是可以十分愉快的使用Promise,并且它的体积足够的小,它对基础认证的信息同样也是在配置中的auth属性,而他所需要随请求放在body中的参数是放在data字段中,而且需要注意的是他返回的数据是在返回结果的data字段中,同样,此时你node axi.js也能得到{ key: "you get the money" }.
restler模块npm install --save restler,新建rest.js
const rest = require("restler") rest.post("http://localhost:3000/api",{ username:"ray", password:"123", data: { need:"money" } }).on("complete",function(data){ console.log(data) })
最后是restler模块,需要的认证信息直接是其第二个参数options中的两个字段username和password,携带在body中的信息依旧是放在data字段中,用监听事件的方式监听complete事件发生触发回调函数你就得到了通过验证的消息{ key: "you get the money" }。
当然上述三个模块以及浏览器发送请求不带认证信息都将得到带着401的"go away",三个模块不在请求的body中带上参数need都会”show you the gold”。
后续最后,如果有错误与不足还希望您能指出:)
完整demo地址
个人博客地址
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/107188.html
摘要:项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。上目前的最新版本是对应的版本,但验证过也是同样可用的。 ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔...
摘要:要对进行黑盒测试测试的最好办法是对他们进行黑盒测试,黑盒测试是一种不关心应用内部结构和工作原理的测试方法,测试时系统任何部分都不应该被。此外,有了黑盒测试并不意味着不需要单元测试,针对的单元测试还是需要编写的。 本文首发于之乎专栏前端周刊,全文共 6953 字,读完需 8 分钟,速度需 2 分钟。翻译自:RingStack 的文章 https://blog.risingstack.co...
摘要:返回总共需要处理个地方,一个是异常的处理,需要兼容请求,一个是成功返回的处理,一个是失败返回的处理。这里就是拦截,获取提交的参数,然后交给去认证。之后就是走后续的,如果成功,则会进行相应的配置。动态配置权限笔记自定义 序 本文讲述一下如何自定义spring security的登录页,网上给的资料大多过时,而且是基于后端模板技术的,讲的不是太清晰,本文给出一个采用ajax的登录及返回的前...
阅读 1955·2021-11-22 15:29
阅读 3251·2021-10-14 09:43
阅读 1222·2021-10-08 10:22
阅读 3341·2021-08-30 09:46
阅读 1430·2019-08-30 15:55
阅读 1922·2019-08-30 15:44
阅读 848·2019-08-30 14:19
阅读 1438·2019-08-30 13:13