Passport.js認証に失敗したときにJSON応答を送り返す
IPhoneクライアントのバックエンドAPIサーバーとしてNode.jsを使用しています。 Passport.jsで認証するためにlocal strategyを使用しています。関連するコードは次のとおりです。
// This is in user.js, my user model
UserSchema.static('authenticate', function(username, password, callback) {
this.findOne({ username: username }, function(err, user) {
if (err){
console.log('findOne error occurred');
return callback(err);
}
if (!user){
return callback(null, false);
}
user.verifyPassword(password, function(err, passwordCorrect){
if (err){
console.log('verifyPassword error occurred');
return callback(err);
}
if (!passwordCorrect){
console.log('Wrong password');
return callback(err, false);
}
console.log('User Found, returning user');
return callback(null, user);
});
});
});
そして
// This is in app.js
app.get('/loginfail', function(req, res){
res.json(403, {message: 'Invalid username/password'});
});
app.post('/login',
passport.authenticate('local', { failureRedirect: '/loginfail', failureFlash: false }),
function(req, res) {
res.redirect('/');
});
今、私は失敗したログインを/ loginfailにリダイレクトすることができました。ここで、JSONをiPhoneクライアントに送り返します。ただし、これには十分な粒度がありません。 「ユーザーが見つかりません」や「パスワードが間違っています」などの適切なエラーをiPhoneクライアントに返送できるようにします。私の既存のコードでは、これをどのように達成できるかわかりません。
Passport.jsサイトでカスタムコールバックの例を実行しようとしましたが、ノードの理解が不十分なため、動作させることができません。適切なエラーコード/メッセージでres.jsonを返送できるようにコードを変更するにはどうすればよいですか?
編集:私は今このようなことをしようとしています:
// In app.js
app.post('/login', function(req, res, next) {
passport.authenticate('local', function(err, user, info) {
if (err) { return next(err) }
if (!user) {
console.log(info);
// *** Display message without using flash option
// re-render the login form with a message
return res.redirect('/login');
}
console.log('got user');
return res.json(200, {user_id: user._id});
})(req, res, next);
});
// In user.js
UserSchema.static('authenticate', function(username, password, callback) {
this.findOne({ username: username }, function(err, user) {
if (err){
console.log('findOne error occurred');
return callback(err);
}
if (!user){
return callback(null, false);
}
user.verifyPassword(password, function(err, passwordCorrect){
if (err){
return callback(err);
}
if (!passwordCorrect){
return callback(err, false, {message: 'bad password'});
}
console.log('User Found, returning user');
return callback(null, user);
});
});
});
しかし、console.log(info)を実行しようとすると、未定義と表示されます。このカスタムコールバックを機能させる方法がわかりません...
「認証」静的呼び出し(コードでは「コールバック」と呼ばれます)がコールバック関数は、コードが提供できる3番目のパラメーター-「情報」を受け入れると考えています。次に、{failureRedirect:...}オブジェクトを渡す代わりに、3つの引数(err、user、およびinfo)を受け取る関数を渡します。認証メソッドで指定した「情報」は、このコールバックに渡されます。
Passportはこのシナリオを「カスタムコールバック」と呼びます。こちらのドキュメントをご覧ください: http://passportjs.org/guide/authenticate/
Passportで同様の問題が発生し、ログイン応答に失敗しました。私はAPIを構築していたので、すべての応答がJSONとして返されることを望んでいました。 Passportは、ステータス:_401_および本文:Unauthorizedで無効なパスワードに応答します。 これはJSONではなく本文の単なるテキスト文字列であるため、すべてのJSONを予期していたクライアントが壊れました。
結局のところ、Passportが応答自体を送信するのではなく、フレームワークにエラーを返すようにする方法があります。
答えは、認証に渡されるオプションにfailWithErrorを設定することです。 https://github.com/jaredhanson/passport/issues/126#issuecomment-3233316
問題におけるjaredhansonのコメントから:
_app.post('/login',
passport.authenticate('local', { failWithError: true }),
function(req, res, next) {
// handle success
if (req.xhr) { return res.json({ id: req.user.id }); }
return res.redirect('/');
},
function(err, req, res, next) {
// handle error
if (req.xhr) { return res.json(err); }
return res.redirect('/login');
}
);
_これにより、Passportがnext(err)を呼び出した後にエラーハンドラーが呼び出されます。私のアプリでは、JSONエラーを提供するというユースケースに固有の汎用エラーハンドラーを作成しました。
_// Middleware error handler for json response
function handleError(err,req,res,next){
var output = {
error: {
name: err.name,
message: err.message,
text: err.toString()
}
};
var statusCode = err.status || 500;
res.status(statusCode).json(output);
}
_次に、すべてのAPIルートに使用しました。
_var api = express.Router();
...
//set up some routes here, attached to api
...
// error handling middleware last
api.use( [
handleError
] );
_ドキュメントにfailWithErrorオプションが見つかりませんでした。デバッガーでコードをトレースしているときに、つまずいた。
また、これを理解する前に、@ Kevin_Denteの回答にある「カスタムコールバック」を試しましたが、うまくいきませんでした。それがPassportの古いバージョンのものなのか、それとも間違ったことをしていたのかはわかりません。
カスタムコールバックの公式ドキュメントがあります。
app.get('/login', function(req, res, next) {
passport.authenticate('local', function(err, user, info) {
if (err) { return next(err); }
if (!user) { return res.redirect('/login'); }
req.logIn(user, function(err) {
if (err) { return next(err); }
return res.redirect('/users/' + user.username);
});
})(req, res, next);
});
https://github.com/passport/www.passportjs.org/blob/master/views/docs/authenticate.md
戦略定義でプロパティpassReqToCallbackを使用して、カスタムコールバックなしでそれを行うことができます。
passport.use(new LocalStrategy({passReqToCallback: true}, validateUserPassword));
次に、戦略コードのリクエストにカスタム認証エラーコードを追加できます。
var validateUserPassword = function (req, username, password, done) {
userService.findUser(username)
.then(user => {
if (!user) {
req.authError = "UserNotFound";
return done(null, false);
}
そして最後に、これらのカスタムエラーをルートで処理できます。
app.post('/login', passport.authenticate('local', { failWithError: true })
function (req, res) {
....
}, function(err, req, res, next) {
if(req.autherror) {
res.status(401).send(req.autherror)
} else {
....
}
}
);
Passportの公式ドキュメントに従って、 カスタムコールバック 関数を使用して、認証の失敗のケースを処理し、デフォルトのメッセージをオーバーライドできます。
REST APIを開発している場合、次のようにかなりのJSON応答を送信する必要があります。
{
"error": {
"name": "JsonWebTokenError",
"message": "invalid signature"
},
"message": "You are not authorized to access this protected resource",
"statusCode": 401,
"data": [],
"success": false
}
私はPassport JWT認証を使用してルートの一部を保護し、次のようにauthMiddlewareを適用しました:
app/middlewares/authMiddleware.js
const express = require('express');
const router = express.Router();
const passport = require('passport');
const _ = require('lodash');
router.all('*', function (req, res, next) {
passport.authenticate('local', function(err, user, info) {
// If authentication failed, `user` will be set to false. If an exception occurred, `err` will be set.
if (err || !user || _.isEmpty(user)) {
// PASS THE ERROR OBJECT TO THE NEXT ROUTE i.e THE APP'S COMMON ERROR HANDLING MIDDLEWARE
return next(info);
} else {
return next();
}
})(req, res, next);
});
module.exports = router;
app/routes/approutes.js
const authMiddleware = require('../middlewares/authMiddleware');
module.exports = function (app) {
// secure the route by applying authentication middleware
app.use('/users', authMiddleware);
.....
...
..
// ERROR-HANDLING MIDDLEWARE FOR SENDING ERROR RESPONSES TO MAINTAIN A CONSISTENT FORMAT
app.use((err, req, res, next) => {
let responseStatusCode = 500;
let responseObj = {
success: false,
data: [],
error: err,
message: 'There was some internal server error',
};
// IF THERE WAS SOME ERROR THROWN BY PREVIOUS REQUEST
if (!_.isNil(err)) {
// IF THE ERROR IS REALTED TO JWT AUTHENTICATE, SET STATUS CODE TO 401 AND SET A CUSTOM MESSAGE FOR UNAUTHORIZED
if (err.name === 'JsonWebTokenError') {
responseStatusCode = 401;
responseObj.message = 'You are not authorized to access this protected resource';
}
}
if (!res.headersSent) {
res.status(responseStatusCode).json(responseObj);
}
});
};