登录使用任何密码验证用户
Login authenticates user with any password
我创建了一个简单的登录表单。只要密码字段中有内容,它似乎就可以验证任何现有用户。显然,这是一个巨大的安全漏洞。我是新手,意思是堆栈和使用护照对用户进行身份验证似乎很容易,但不确定我是否做错了。
这是我使用 passportjs 的后端代码:
app.js
const passport = require('passport');
require('./config/passport');
app.use(passport.initialize());
routes/index.js
const ctrlAuth = require('../controllers/authentication');
router.post('/login', ctrlAuth.login);
controllers/authentication.js
module.exports.login = function(req, res) {
passport.authenticate('local', function(err, user, info){
let token;
// If Passport throws/catches an error
if (err) {
res.status(404).json(err);
return;
}
// If a user is found
if(user){
token = user.generateJwt();
res.status(200);
res.json({
"token" : token
});
} else {
// If user is not found
res.status(401).json(info);
}
})(req, res);
};
最后,我的配置文件
config/passport.js
const passport = require('passport');
const LocalStrategy = require('passport-local').Strategy;
const mongoose = require('mongoose');
const User = mongoose.model('User');
passport.use(new LocalStrategy({
usernameField: 'email'
},
function(username, password, done) {
User.findOne({
email: username
}, function(err, user) {
if (err) {
return done(err);
}
//Return if user not found in database
if (!user) {
return done(null, false, {
message: 'User not found'
});
}
//Return if password is wrong
if (!user.validPassword(password)) {
return done(null, false, {
message: 'Password is wrong'
});
}
//If credentials are correct, return the user object
return done(null, user);
});
}
));
我相信我已经将错误缩小到我可能错误地使用 bcrypt 的 validPassword 函数。
userSchema.methods.validPassword = function(password){
return bcrypt.compare(password, this.hash);
};
我将问题缩小到我的 validPassword 方法,发现我使用 bcrypt 不正确。改为
userSchema.methods.validPassword = function(password){
return bcrypt.compareSync(password, this.hash);
};
查看 bcrypt 文档后更有意义 https://github.com/kelektiv/node.bcrypt.js#readme
我创建了一个简单的登录表单。只要密码字段中有内容,它似乎就可以验证任何现有用户。显然,这是一个巨大的安全漏洞。我是新手,意思是堆栈和使用护照对用户进行身份验证似乎很容易,但不确定我是否做错了。
这是我使用 passportjs 的后端代码:
app.js
const passport = require('passport');
require('./config/passport');
app.use(passport.initialize());
routes/index.js
const ctrlAuth = require('../controllers/authentication');
router.post('/login', ctrlAuth.login);
controllers/authentication.js
module.exports.login = function(req, res) {
passport.authenticate('local', function(err, user, info){
let token;
// If Passport throws/catches an error
if (err) {
res.status(404).json(err);
return;
}
// If a user is found
if(user){
token = user.generateJwt();
res.status(200);
res.json({
"token" : token
});
} else {
// If user is not found
res.status(401).json(info);
}
})(req, res);
};
最后,我的配置文件
config/passport.js
const passport = require('passport');
const LocalStrategy = require('passport-local').Strategy;
const mongoose = require('mongoose');
const User = mongoose.model('User');
passport.use(new LocalStrategy({
usernameField: 'email'
},
function(username, password, done) {
User.findOne({
email: username
}, function(err, user) {
if (err) {
return done(err);
}
//Return if user not found in database
if (!user) {
return done(null, false, {
message: 'User not found'
});
}
//Return if password is wrong
if (!user.validPassword(password)) {
return done(null, false, {
message: 'Password is wrong'
});
}
//If credentials are correct, return the user object
return done(null, user);
});
}
));
我相信我已经将错误缩小到我可能错误地使用 bcrypt 的 validPassword 函数。
userSchema.methods.validPassword = function(password){
return bcrypt.compare(password, this.hash);
};
我将问题缩小到我的 validPassword 方法,发现我使用 bcrypt 不正确。改为
userSchema.methods.validPassword = function(password){
return bcrypt.compareSync(password, this.hash);
};
查看 bcrypt 文档后更有意义 https://github.com/kelektiv/node.bcrypt.js#readme