Перенаправлення на попередню сторінку після аутентифікації в node.js за допомогою passport.js

100

Я намагаюся встановити механізм входу за допомогою node.js, express та passport.js. Сам логін працює досить приємно, також сеанси чудово зберігаються з redis, але у мене є проблеми з перенаправленням користувача, куди він почав, перш ніж буде запропоновано перевірити автентифікацію.

Наприклад, користувач слідує за посиланням http://localhost:3000/hidden, потім переспрямовується, http://localhost:3000/loginале тоді я хочу, щоб він був перенаправлений знову на http://localhost:3000/hidden.

Мета цього полягає в тому, що якщо користувач випадково отримує доступ до сторінки, яку йому потрібно ввійти вперше, він повинен бути перенаправлений на сайт / логін, надаючи свої облікові дані, а потім перенаправляється назад на сайт, до якого раніше намагався отримати доступ.

Ось мій пост для входу

app.post('/login', function (req, res, next) {
    passport.authenticate('local', function (err, user, info) {
        if (err) {
            return next(err)
        } else if (!user) { 
            console.log('message: ' + info.message);
            return res.redirect('/login') 
        } else {
            req.logIn(user, function (err) {
                if (err) {
                    return next(err);
                }
                return next(); // <-? Is this line right?
            });
        }
    })(req, res, next);
});

і ось мій метод перевірки автентичності

function ensureAuthenticated (req, res, next) {
  if (req.isAuthenticated()) { 
      return next();
  }
  res.redirect('/login');
}

який зачіпає /hiddenсторінку

app.get('/hidden', ensureAuthenticated, function(req, res){
    res.render('hidden', { title: 'hidden page' });
});

Виведення html для сайту для входу є досить простим

<form method="post" action="/login">

  <div id="username">
    <label>Username:</label>
    <input type="text" value="bob" name="username">
  </div>

  <div id="password">
    <label>Password:</label>
    <input type="password" value="secret" name="password">
  </div>

  <div id="info"></div>
    <div id="submit">
    <input type="submit" value="submit">
  </div>

</form>

— Алкс
джерело

Привіт Я теж роблю те саме, що різниця полягає лише в тому, що користувач успішно увійде в систему, тоді я переспрямую на сторінку Welcome.html з повідомленням на кшталт "Вітаю UserName". почути UserName буде його ім'ям LoginName. Чи можете ви показати мені, як передати значення текстового поля на наступну сторінку ??

— Dhrumil Shah

не знаючи багато, я б здогадався просто пропустити це. З мого прикладу, це може бути: res.render ('приховано', {назва: 'прихована сторінка', ім’я користувача: 'Тіріон Ланністер'});

— Алкс

84

Я не знаю про паспорт, але ось як це зробити:

У мене є посереднє програмне забезпечення, яке я використовую з цими app.get('/account', auth.restrict, routes.account)наборами redirectToв сеансі ... тоді я переадресовую на / вхід

auth.restrict = function(req, res, next){
    if (!req.session.userid) {
        req.session.redirectTo = '/account';
        res.redirect('/login');
    } else {
        next();
    }
};

Тоді routes.login.postя роблю наступне:

var redirectTo = req.session.redirectTo || '/';
delete req.session.redirectTo;
// is authenticated ?
res.redirect(redirectTo);

— чови
джерело

Спасибі за Вашу відповідь. Хіба ви не встановлюєте напрямок переадресації / акаунта прямо у своєму коді? Що станеться, якщо у вас є інше посилання, скажімо, / pro_accounts, використовуючи той самий auth.restrict, вони будуть перенаправлені на / рахунок ....

— Alx

4

Це правда. Я завжди переспрямовую на / рахунок після того, як вони req.session.redirect_to = req.path

— ввійдуть

1

хм .. його не зовсім я шукаю. Я закликаю sureAuthentication, щоб з'ясувати, чи користувач уже авторизований чи ні, якщо ні, він перенаправлений на / вхід. З цього погляду мені потрібен спосіб повернутися до / рахунку. Виклик req.path у межах / входу дає мені простий / вхід у систему. Використання реферера не працює ні плюс його не зовсім певно, якщо браузер встановив реферер належним чином ...

— Alx

6

Потрібно встановити req.session.redirect_to = req.pathвсередині аутентичного програмного забезпечення. Потім прочитайте його та видаліть у login.postмаршруті.

— chovy

це не чудове рішення для паспорта, який приймає successRedirect як варіант у момент, коли запит недоступний

— linuxdan

110

У вашому ensureAuthenticatedметоді збережіть URL-адресу повернення в сеансі так:

...
req.session.returnTo = req.originalUrl; 
res.redirect('/login');
...

Тоді ви можете оновити маршрут passport.authenticate на щось подібне:

app.get('/auth/google/return', passport.authenticate('google'), function(req, res) {
    res.redirect(req.session.returnTo || '/');
    delete req.session.returnTo;
});

— linuxdan
джерело

7

Працював над першим пропуском, але мені потрібно було додати наступне після перенаправлення в маршрут passport.authenticate, щоб уникнути повернення на адресу returnTo після наступного виходу / входу: req.session.returnTo = null;Дивіться це запитання для отримання додаткової інформації про вихід за замовчуванням у паспорті, який, при вивченні джерела, схоже, очищає лише session.user, а не весь сеанс.

— Роб Андрен

чи можу я просто передати запит, наприклад? callback = / profile замість сесії

— OMGPOP

@OMGPOP ви, мабуть, могли, але це не дуже захищено, є причина, по якій ви не хочете скористатися сеансом?

— linuxdan

@linuxdan зовсім не є. але просто клопітно витягнути посилання на переадресацію та перевести в сеанс, а тоді, коли користувач перенаправить назад, призначить назад посилання на переадресацію із сеансу

— OMGPOP

5

Замість цього req.pathя б використовував, req.originalUrlоскільки це поєднання baseUrl і шляху, дивіться документацію

— matthaeus

14

Погляньте на connect-secure-login , який працює поряд із паспортом, щоб робити саме те, що ви хочете!

— Джаред Гансон
джерело

7

Мій спосіб робити:

const isAuthenticated = (req, res, next) => {
  if (req.isAuthenticated()) {
    return next()
  }
  res.redirect( `/login?origin=${req.originalUrl}` )
};

GET / контролер входу :

if( req.query.origin )
  req.session.returnTo = req.query.origin
else
  req.session.returnTo = req.header('Referer')

res.render('account/login')

Контролер POST / входу :

  let returnTo = '/'
  if (req.session.returnTo) {
    returnTo = req.session.returnTo
    delete req.session.returnTo
  }

  res.redirect(returnTo);

Контролер POST / вихід (не впевнений, чи 100% нормально, коментарі вітаються):

req.logout();
res.redirect(req.header('Referer') || '/');
if (req.session.returnTo) {
  delete req.session.returnTo
}

Очистити returnTo проміжне програмне забезпечення (очищає returnTo від сеансу на будь-якому маршруті, крім автентичних маршрутів - для мене це / login та / auth /: провайдер):

String.prototype.startsWith = function(needle)
{
  return(this.indexOf(needle) == 0)
}

app.use(function(req, res, next) {
  if ( !(req.path == '/login' || req.path.startsWith('/auth/')) && req.session.returnTo) {
    delete req.session.returnTo
  }
  next()
})

Цей підхід має дві особливості :

ви можете захистити деякі маршрути за допомогою програмного забезпечення із встановленим програмним забезпеченням;
на будь-якій сторінці ви можете просто натиснути URL-адресу входу, а після входу повернутися до цієї сторінки;

— deksden
джерело

Тут було дуже багато хорошої відповіді, я зміг використати ваш приклад і змусив це працювати з моїм проектом. Дякую!

— користувач752746

5

Якщо ви використовуєте connect-secure-login, існує надзвичайно простий, інтегрований спосіб зробити це за допомогою Passport за допомогою successReturnToOrRedirectпараметра. При використанні паспорт поверне вас до спочатку запитуваної URL-адреси або резервної копії до вказаної вами URL-адреси.

router.post('/login', passport.authenticate('local', {
  successReturnToOrRedirect: '/user/me',
  failureRedirect: '/user/login',
  failureFlash: true
}));

https://github.com/jaredhanson/connect-ensure-login#log-in-and-return-to

— ігнеозавр
джерело

Це здається дублікатом відповіді @ jaredhanson

— mikemaccana

1

У відповідях @chovy та @linuxdan є помилка з не очищенням, session.returnToякщо користувач перейде на іншу сторінку після перенаправлення входу (для цього не потрібна автентифікація) та входу через нього. Тому додайте цей код до їх реалізації:

// clear session.returnTo if user goes to another page after redirect to login
app.use(function(req, res, next) {
    if (req.path != '/login' && req.session.returnTo) {
        delete req.session.returnTo
    }
    next()
})

Якщо ви робите кілька запитів ajax зі сторінки входу, ви також можете їх виключити.

Інший підхід - використовувати Flash вensureAuthenticated

req.flash('redirectTo', req.path)
res.redirect('/login')

А потім у GET логін

res.render('login', { redirectTo: req.flash('redirectTo') })

У поданні додайте приховане поле до форми для входу (наприклад, в нефрит)

if (redirectTo != '')
    input(type="hidden" name="redirectTo" value="#{redirectTo}")

У вхідній пошті

res.redirect(req.body.redirectTo || '/')

Зауважте, що перенаправлення буде очищено після першого входу з ним GET.

— Олександр Данилов
джерело

0

Найпростіший (і належним чином) спосіб досягти цього - це налаштування failureRedirectта successRedirectпараметри .

— Стерти
джерело

Чи можете ви докладно? Я бачу, як successRedirectйого використовують у зворотному маршруті, але тоді намічене місце призначення (тобто returnToвище) буде втрачено, правда?

— Том Седерлунд