使用 Passport 和 OAuth2 + 社交网络的 NodeJS REST 身份验证

我正在尝试RESTapi使用NodeJS。为了进行身份验证，我决定使用Passport。我想要真正的 RESTful api。所以这意味着我必须使用令牌而不是会话。

我想让用户使用用户名和密码登录，或者使用 Facebook、Google 和 Twitter 等社交网络登录。

我自己做OAuth2.0发行服务器Access and Refresh tokens using oauth2orize模块。所以现在我可以注册新用户，然后向他们颁发令牌。 我按照这个教程进行操作：

http://aleksandrov.ws/2013/09/12/restful-api-with-nodejs-plus-mongodb/ http://aleksandrov.ws/2013/09/12/restful-api-with-nodejs-plus-mongodb/

验证用户的路线：

// api ------------------------------------------------------------------------------------
    app.get('/api/userInfo',
        passport.authenticate('bearer', { session: false }),
        function(req, res) {
            // req.authInfo is set using the `info` argument supplied by
            // `BearerStrategy`.  It is typically used to indicate scope of the token,
            // and used in access control checks.  For illustrative purposes, this
            // example simply returns the scope in the response.
            res.json({ user_id: req.user.userId, name: req.user.username, scope: req.authInfo.scope })
        }
    );

所有这些都运作良好。不幸的是我不知道如何实施社会认证。

我正在阅读本教程：

http://scotch.io/tutorials/javascript/easy-node-authentication-facebook 

但在本教程中，他们并没有制作真正的 RESTful api。我已经根据本教程实现了用户模式，其中本地用户的令牌存储在单独的模型中。

// define the schema for our user model
var userSchema = mongoose.Schema({
    local: {
        username: {
            type: String,
            unique: true,
            required: true
        },
        hashedPassword: {
            type: String,
            required: true
        },
        created: {
            type: Date,
            default: Date.now
        }
    },
    facebook: {
        id: String,
        token: String,
        email: String,
        name: String
    },
    twitter: {
        id: String,
        token: String,
        displayName: String,
        username: String
    },
    google: {
        id: String,
        token: String,
        email: String,
        name: String
    }
});

但现在，我如何验证用户？

passport.authenticate('bearer', { session: false }),

这仅验证我的数据库的不记名令牌，但如何验证社交令牌？我错过了什么吗？

我正在使用 Facebook 登录作为我自己的 RESTful API我的记事本应用程序在这里 https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap。我启动该应用程序时将其用作网页，但登录后的通信仍将通过 API 进行。

然后我决定创建一个同一应用程序的移动版本 https://github.com/iliyan-trifonov/notepads-ionic将使用 API。我决定这样做：移动应用程序通过 Facebook 登录，并将 facebook 用户 ID 和 FB 访问令牌发送到 API，API 调用 Facebook 的 API 来验证这些参数，如果成功注册新用户（或登录现有的）在我的应用程序的数据库中，为该用户创建一个自定义令牌并将其返回到移动应用程序。移动应用程序从此处发送此自定义令牌以使用 API 对应用程序进行身份验证。

这是一些代码：

API 中的身份验证（使用 fbgraph npm 模块）：

var graph = require('fbgraph'),
Promise = require('bluebird')
...
Promise.promisify(graph.get);
...
var postAuthHandler = function (req, res) {
    var fbUserId = req.body.fbId,
    fbAccessToken = req.body.fbAccessToken,
    accessToken = req.body.accessToken;
    ...
    graph.setAppSecret(config.facebook.app.secret);
    graph.setAccessToken(fbAccessToken);

    var graphUser;
    var p = graph.getAsync('me?fields=id,name,picture')
        .then(function (fbGraphUser) {
            //when the given fb id and token mismatch:
            if (!fbGraphUser || fbGraphUser.id !== fbUserId) {
                console.error("Invalid user from fbAccessToken!");
                res.status(HttpStatus.FORBIDDEN).json({});
                return p.cancel();
            }

            graphUser = fbGraphUser;

            return User.fb(fbUserId);
        })
        .then(function (user) {
            if (user) {
                //user found by his FB access token
                res.status(HttpStatus.OK).json({accessToken: user.accessToken});
                //stop the promises chain here
                return p.cancel();
            }
            ...create the user, generate a custom token and return it as above...

https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/6617a5cb418ba8acd6351ef9a9f69228f1047154/src/routes/users.js#L46 https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/6617a5cb418ba8acd6351ef9a9f69228f1047154/src/routes/users.js#L46 .

用户模型：

var userSchema = new mongoose.Schema({
    facebookId: { type: String, required: true, unique: true },
    accessToken: { type: String, required: true, unique: true },
    name: { type: String, required: true },
    photo: { type: String, required: true },
    categories: [{ type: mongoose.Schema.Types.ObjectId, ref: 'Category' }],
    notepads: [{ type: mongoose.Schema.Types.ObjectId, ref: 'Notepad' }]
});

https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/master/src/models/user.js#L9 https://github.com/iliyan-trifonov/notepads-nodejs-angularjs-mongodb-bootstrap/blob/master/src/models/user.js#L9 .

移动应用程序中的 Facebook 身份验证：

               auth: function(fbId, fbAccessToken) {
                return $http({
                    url: apiBase + '/users/auth',
                    data: {
                        fbId: fbId,
                        fbAccessToken: fbAccessToken
                    },
                    method: 'POST',
                    cache: false
                });
            },
            ...

https://github.com/iliyan-trifonov/notepads-ionic/blob/master/www/js/services.js#L33 https://github.com/iliyan-trifonov/notepads-ionic/blob/master/www/js/services.js#L33 .

移动应用程序随请求发送令牌：

  notepads: {
            list: function() {
                return $http({
                    url: apiBase + '/notepads?insidecats=1' + '&token=' + User.get().accessToken/*gets the token from the local storage*/,
                    method: 'GET',
                    cache: false
                });
            },

这是一个 Ionic/Angular/Cordova 应用程序。从移动应用程序登录 Facebook 将启动安装在您手机上的 Facebook 应用程序或打开一个弹出窗口以登录 Facebook。然后回调将 Facebook 用户的 ID 和访问令牌返回到我的移动应用程序。

fbgraph npm 模块：https://github.com/criso/fbgraph https://github.com/criso/fbgraph