Redirecionando para a página anterior após autenticação em node.js usando passport.js

101

Estou tentando estabelecer um mecanismo de login usando node.js, express e passport.js. O login em si funciona muito bem, também as sessões são armazenadas bem com o redis, mas eu tenho alguns problemas em redirecionar o usuário de onde ele começou antes de ser solicitado a autenticar.

por exemplo, o usuário segue o link http://localhost:3000/hiddené redirecionado para, http://localhost:3000/loginmas quero que ele seja redirecionado novamente para http://localhost:3000/hidden.

O propósito disso é, se o usuário acessar aleatoriamente uma página que ele precisa estar logado primeiro, ele será redirecionado para o site / login fornecendo suas credenciais e, em seguida, sendo redirecionado de volta para o site que tentou acessar anteriormente.

Aqui está minha postagem de login

app.post('/login', function (req, res, next) {
    passport.authenticate('local', function (err, user, info) {
        if (err) {
            return next(err)
        } else if (!user) { 
            console.log('message: ' + info.message);
            return res.redirect('/login') 
        } else {
            req.logIn(user, function (err) {
                if (err) {
                    return next(err);
                }
                return next(); // <-? Is this line right?
            });
        }
    })(req, res, next);
});

e aqui meu método garantir; autenticado

function ensureAuthenticated (req, res, next) {
  if (req.isAuthenticated()) { 
      return next();
  }
  res.redirect('/login');
}

que se conecta à /hiddenpágina

app.get('/hidden', ensureAuthenticated, function(req, res){
    res.render('hidden', { title: 'hidden page' });
});

A saída html para o site de login é bastante simples

<form method="post" action="/login">

  <div id="username">
    <label>Username:</label>
    <input type="text" value="bob" name="username">
  </div>

  <div id="password">
    <label>Password:</label>
    <input type="password" value="secret" name="password">
  </div>

  <div id="info"></div>
    <div id="submit">
    <input type="submit" value="submit">
  </div>

</form>

— Alx
fonte

Oi, eu também estou fazendo o mesmo, a única diferença é quando o usuário faz o login com sucesso, então eu redirecionarei para a página welcome.html com uma mensagem como 'Nome do usuário de boas-vindas'. ouvir UserName será seu nome de login. Você pode me mostrar como passar o valor da caixa de texto para a próxima página?

— Dhrumil Shah

não sabendo muito, acho que simplesmente ignorar. De acordo com meu exemplo, isso pode ser: res.render ('oculto', {título: 'página oculta', nome de usuário: 'Tyrion Lannister'});

— Alx

84

Não sei sobre passaporte, mas faço isso da seguinte maneira:

Eu tenho um middleware que uso com app.get('/account', auth.restrict, routes.account)esse set redirectTona sessão ... então redireciono para / login

auth.restrict = function(req, res, next){
    if (!req.session.userid) {
        req.session.redirectTo = '/account';
        res.redirect('/login');
    } else {
        next();
    }
};

Então, routes.login.posteu faço o seguinte:

var redirectTo = req.session.redirectTo || '/';
delete req.session.redirectTo;
// is authenticated ?
res.redirect(redirectTo);

— chovy
fonte

Obrigado pela sua resposta. Você não está definindo o redirecionamento / conta direta em seu código? O que acontece se você tiver outro link, digamos / pro_accounts usando o mesmo auth.restrict, eles seriam redirecionados para / account ....

— Alx

4

Isso é verdade. Sempre redireciono para / account depois que eles fazem login, mas você pode substituí-lo porreq.session.redirect_to = req.path

— chovy

1

hm .. não é bem o que estou procurando. Eu chamo sureAuthenticated para descobrir se um usuário já está autenticado ou não, caso contrário, ele é redirecionado para / login. Desse ponto de vista, preciso voltar para / conta. Chamar req.path em / login me dá um / login simples de volta. Usar referer também não funciona e não é muito certo se o navegador define o referer corretamente ...

— Alx

6

Você precisa definir req.session.redirect_to = req.pathdentro de seu middleware de autenticação. Então leia e exclua na login.postrota.

— chovy

esta não é uma ótima solução para passaporte que aceita successRedirect como uma opção em um ponto em que a solicitação não está disponível

— linuxdan

110

Em seu ensureAuthenticatedmétodo, salve o url de retorno na sessão como este:

...
req.session.returnTo = req.originalUrl; 
res.redirect('/login');
...

Em seguida, você pode atualizar sua rota passport.authenticate para algo como:

app.get('/auth/google/return', passport.authenticate('google'), function(req, res) {
    res.redirect(req.session.returnTo || '/');
    delete req.session.returnTo;
});

— Linuxdan
fonte

7

Trabalhei na primeira passagem, mas eu precisava adicionar o seguinte após o redirecionamento na rota passport.authenticate para evitar ser levado de volta ao endereço returnTo após logout / login subsequente: req.session.returnTo = null;Veja esta pergunta para obter informações adicionais sobre o logout padrão do passaporte, que, no exame da fonte, parece limpar apenas o session.user, e não a sessão inteira.

— Rob Andren

posso simplesmente passar uma consulta como? callback = / profile em vez de sessão

— OMGPOP

@OMGPOP você provavelmente poderia, mas isso não parece muito seguro. Existe uma razão para você não querer aproveitar as vantagens da sessão?

— linuxdan

@linuxdan de forma alguma. mas é apenas problemático extrair o link de redirecionamento e colocá-lo na sessão, então, quando o usuário redirecionar de volta, atribua de volta o link de redirecionamento da sessão

— OMGPOP

5

Em vez de req.patheu usaria, req.originalUrlpois é uma combinação de baseUrl e path, consulte a documentação

— matthaeus

14

Dê uma olhada em conectar-garantir-login , que funciona junto com o Passport para fazer exatamente o que você deseja!

— Jared Hanson
fonte

7

Minha maneira de fazer as coisas:

const isAuthenticated = (req, res, next) => {
  if (req.isAuthenticated()) {
    return next()
  }
  res.redirect( `/login?origin=${req.originalUrl}` )
};

GET / controlador de login :

if( req.query.origin )
  req.session.returnTo = req.query.origin
else
  req.session.returnTo = req.header('Referer')

res.render('account/login')

Controlador POST / login :

  let returnTo = '/'
  if (req.session.returnTo) {
    returnTo = req.session.returnTo
    delete req.session.returnTo
  }

  res.redirect(returnTo);

Controlador POST / logout (não tenho certeza se está 100% ok, comentários são bem-vindos):

req.logout();
res.redirect(req.header('Referer') || '/');
if (req.session.returnTo) {
  delete req.session.returnTo
}

Limpa o middleware returnTo (limpa o returnTo da sessão em qualquer rota, exceto as rotas de autenticação - para mim, elas são / login e / auth /: provider):

String.prototype.startsWith = function(needle)
{
  return(this.indexOf(needle) == 0)
}

app.use(function(req, res, next) {
  if ( !(req.path == '/login' || req.path.startsWith('/auth/')) && req.session.returnTo) {
    delete req.session.returnTo
  }
  next()
})

Essa abordagem tem dois recursos :

você pode proteger algumas rotas com o middleware isAuthenticated ;
em qualquer página, você pode simplesmente clicar no URL de login e, após o login, retornar a essa página;

— Deksden
fonte

Houve tantas respostas boas aqui, pude usar seu exemplo e fazê-lo funcionar com meu projeto. Obrigado!

— user752746

5

Se você estiver usando o conectar-garantir-login, há uma maneira super fácil e integrada de fazer isso com o Passport usando o successReturnToOrRedirectparâmetro. Quando usado, o passaporte o enviará de volta ao URL originalmente solicitado ou retornará ao URL fornecido.

router.post('/login', passport.authenticate('local', {
  successReturnToOrRedirect: '/user/me',
  failureRedirect: '/user/login',
  failureFlash: true
}));

https://github.com/jaredhanson/connect-ensure-login#log-in-and-return-to

— igneossauro
fonte

Esta parece ser uma duplicata da resposta de

— @jaredhanson

1

As respostas @chovy e @linuxdan têm bug com não limpar session.returnTose o usuário vai para outra página após o redirecionamento do login (isso não requer autenticação) e logins por meio dela. Portanto, adicione este código às suas implementações:

// clear session.returnTo if user goes to another page after redirect to login
app.use(function(req, res, next) {
    if (req.path != '/login' && req.session.returnTo) {
        delete req.session.returnTo
    }
    next()
})

Se você fizer algumas solicitações ajax da página de login, também poderá excluí-las.

Outra abordagem é usar o flash emensureAuthenticated

req.flash('redirectTo', req.path)
res.redirect('/login')

E então em GET login

res.render('login', { redirectTo: req.flash('redirectTo') })

Em vista adicionar campo oculto ao formulário de login (exemplo em jade)

if (redirectTo != '')
    input(type="hidden" name="redirectTo" value="#{redirectTo}")

Login no POST

res.redirect(req.body.redirectTo || '/')

Observe que redirectTo será limpo após o primeiro login GET com ele.

— Alexander Danilov
fonte

0

A maneira mais fácil (e adequada) de conseguir isso é a configuração failureRedirecte as successRedirectopções .

— Eray
fonte

Você pode elaborar? Eu posso ver successRedirectsendo usado na rota de retorno, mas o destino pretendido (ou seja, returnToacima) seria perdido, certo?

— Tom Söderlund