Как правильно организовать авторизацию в node.js?

Question

[Данил]

На данный момент сделал так: Отправляю GET запросом логин/пароль.

var data = {
        'username': username,
        'password': password
        };

        $.ajax({
          type: "GET",
          url: 'login',
          data: data,
          success: console.log('response sucsess')
    });

На сервере принимаю и сверяю с базой:

router.get('/', function(req, res) {

    var connection = mysql.createConnection({
        host     : 'localhost',
        user     : 'user',
        password : 'password',
        database : 'database'
    });

    connection.connect();

    var username = req.query.username,
    password = req.query.password
    connection.query('SELECT password FROM `users` WHERE login = "' + username +'"',            function(err, rows, fields) {
        if (err) throw err;
        else if (rows.length > 0 && password == rows[0].password) {
            console.log('Hello');
        } else {
            console.log('Go away!');
        }
    });

    connection.end();
    res.end();
});

Но походу это все очень не правильно и не безопасно. Как сделать безопасную авторизацию с сессиями? Кокой их общий принцип роботы? Можно ли кокой либо готовй пример вида: отправил данные -> получил сессию и дальше проверяешь что-то вроде if (registered){ ... }

Comments

[Lynn «Кофеман»]

пароль GET-ом это сильно. Хотя бы POST и лучше бы через https

Answer 1

[Emil Revencu]

1. Сначала сделайте простой запрос (без авторизации) для получения произвольного кода (на сервере генерируем случайный ключ и возвращаем)
2. Полученный ключ (code) кодируем на клиенте через SHA256 (code+username+password)
3. Делаем запрос авторизации отправляя шифрованный код
4. На Сервере проверяем в базе комбинацию SHA256(ключ+полеUSER+полеPASSWORD). Если нашли - Вуаля! и убиваем ключ

Таким образом будет отправляться всегда новый код для авторизации и снифферы не уловят ваши данные.

Answer 2

[icetomcat]

Стоит понимать что принцип авторизации везде одинаков.
1. Идентификация (проверка существование пользователя по login)
2. Аутентификация (проверка пароля)
3. Авторизация (проверка прав доступа)
Сохраняете информацию о пользователе в сессии достаточную чтобы миновать этапы 1 и 2, и сразу переходить к этапу 3. Соответственно когда умирает сессия нужно повторно произвести все шаги авторизации.

Comments

[Данил]

icetomcat То есть. я могу оставить все как есть и просто в конце отправлять пользователю сессию если данные подошли?

[icetomcat]

Смотря что вы вкладываете в понятие "отправлять пользователю сессию". Но по факту да, достаточно завести сессию и записать туда id пользователя, а в ответе поставить куки sid - id сессии.

Ни в коем случае не отправляйте данные пользователе в куках и к любым данным пришедшим от клиента относитесь с недоверием, включая те что сами и устанавливаете, тот же sid можно украсть и использовать в своих целях, поэтому придумали различные механизмы защиты, например через secure_code. Так что лучше воспользоваться готовым механизмом где все эти нюанса уже предусмотрены.

Я с nodejs не знаком, поэтому посоветовать конкретных решений не могу.

Answer 3

[Иван]

И да, юзают https дабы пароль не утёк налево.

Answer 4

[haiku]

1) Кука + сессия
2) OAuth можно

И вы уверены, что написаный в коде руками SQL запрос защищен от SQL-injection атаки?
var username = req.query.username - как-то не очень хорошо, с морды же все что угодно может прилететь. username = '; DROP TABLE users' какой-нить.

Comments

[Олег Осташов]

Как это обойти?