NodeJS Как генерировать пароль в Passport?

Question

[Валерий Орлов]

Код регистрации через Passport выглядит следующим образом:

const LocalStrategy   = require('passport-local').Strategy;
const User       		= require('../app/models/user');
const randomPass = require('randomstring');

module.exports = function(passport) {
    passport.serializeUser(function(user, done) {
        done(null, user.id);
    });

    passport.deserializeUser(function(id, done) {
        User.findById(id, function(err, user) {
            done(err, user);
        });
    });

passport.use('local-signup', new LocalStrategy({
        usernameField : 'email',
        passwordField : 'password',
        passReqToCallback : true 
    },
    function(req, email, password, done) {
          User.findOne({ 'local.email' :  email.toLowerCase() }, function(err, user) {
            if (err)
                return done(err);

            if (user) {
                return done(null, false, req.flash('signupMessage', 'Адрес электронной почты уже занят'));
            } else {
                var newUser            = new User();
                newUser.local.email    = email.toLowerCase();
                newUser.local.password = newUser.generateHash(password);

                newUser.save(function(err) {
                    if (err)
                        throw err;
                    return done(null, newUser);
                });
            }
        });
    }));

Здесь Passport принимает поле email и password и уже выполняет регистрацию. Но мне необходимо пароль генерировать случайно, через randomPass.generate(7). Как исправить код, чтобы Passport получал только поле email, а пароль уже генерировал случайным образом?

Answer 1

[Abcdefgk]

var newUser            = new User();
newUser.local.email    = email.toLowerCase();
password = randomPass.generate(7);
newUser.local.password = newUser.generateHash(password);

Comments

[Валерий Орлов]

Только что убрал поле пароля из формы, passport теперь в б.д. не пишет. Я так понимаю passport видит, что поле password пустое и вылетает. Как по Вашему, это можно поправить?

[Abcdefgk]

Валерий Орлов, Во-первых, у вас какой-то левый код для локальной стратегии (и на Гитхабе, и на сайте никакого аргумента 'local-signup' нету), но это ладно - если работает, то пусть работает.
Во-вторых, между предпоследней и последней строчкой нужно Нодемейлером отправить сгенерированный пароль юзеру в почту (а заодно, может, и себе) и только в случае успешной отправки сделать хеширование и добавление в модель.
И наконец, Паспорт будет автоматически всё делать с сессией - отправлять куку connect.sid в виде зашифрованного айдишника, расшифровывать её при запросе, находить в базе юзера по id и добавлять его в объект req.session.passport
Так что подумайте - стоит ли париться?

[Валерий Орлов]

Полностью с Вами согласен! С этим уже стало ясно. На данный момент ситуация такова, что если в форме отсутствует поле пароля, которое я напросто убрал за ненадобностью, в моем коде passport не работает с данными формы, т.к. пароля нет. Это реально поправить?

[Abcdefgk]

Валерий Орлов, А когда он, уже зарегистрированный, будет авторизоваться на сайте, то куда будет пароль вписывать?
Ну и потом, поле с паролем всегда можно сделать type="hidden"

[Валерий Орлов]

Для авторизации имеется такая конструкция:

passport.use('local-login', new LocalStrategy({
        usernameField : 'email',
        passwordField : 'password',
        passReqToCallback : true 
    },
    function(req, email, password, done) { 
        User.findOne({ 'local.email' :  email }, function(err, user) {
            if (err)
                return done(err);
            if (!user)
                return done(null, false, req.flash('loginMessage', 'Пользователь не найден')); 
            if (!user.validPassword(password))
                return done(null, false, req.flash('loginMessage', 'Не коректный логин/пароль')); 
            return done(null, user);
        });
    }));

[Abcdefgk]

Валерий Орлов, Это то же самое, только с добавленным условием if (!user.validPassword(password))
То есть это, собсно, одна конструкция.

[Валерий Орлов]

В общем да, но к сожаления при регистрации никакого поля с паролем напросто не будет, т.к. адрес направляется с мобильного приложения. (и только адрес). С формой пока работаю для удобства.

[Abcdefgk]

Валерий Орлов, Хе. Ну я не знаю, в обработчике пост-запроса '/login' можно сразу написать какую-нибудь такую фигню
if(!req.body.password) req.body.password = " ";

[Валерий Орлов]

Да тут сами роуты то:

router.post('/signup', passport.authenticate('local-signup', {
		successRedirect : '/ok', 
		failureRedirect : '/signup',
		failureFlash : true 
	}));
router.post('/login', passport.authenticate('local-login', {
		successRedirect : '/profile',
		failureRedirect : '/login',
		failureFlash : true 
	}));

Скорее как-то для регистрации /signup задать пустой пасс, чтобы паспорт пропустил дальше, а в /login'e пользователь уже полученный по почте пароль будет вводить. А куда здесь приткнуть if(!req.body.password) req.body.password = " ";
не совсем догоню)))

[Abcdefgk]

Валерий Орлов, Для чего у Паспорта и предусмотрена Custom Callback:

app.post('/login', function(req, res, next) {

   if(!req.body.password) req.body.password = ' ';

				passport.authenticate('local', function(err, user, info) {
					if (err) {
						return next(err);
					}
					if (!user) {
						console.log('no user');
						return res.redirect('/unautorized');
					}
					req.logIn(user, function(err) {
						if (err) {
							return next(err);
						}
						console.log('success');
						return res.redirect('/');
					});
				})(req, res, next);
			});

www.passportjs.org/docs/authenticate

Answer 2

[SagePtr]

Проще свой роут написать, который будет из req.body брать поле логина, проверять, есть ли такой юзер в базе и если нет - добавлять в бд и вызывать метод req.login от паспорта для входа свежезарегенного пользователя.
'local-signup' в комплекте с паспортом - ущербный, если нужно что-то отличное от дефолтной пары логин-пароль.

Comments

[Валерий Орлов]

Первоначальный вариант для регистрации у меня был:

router.post("/signup", function(req, res, next) => {

  User.find({ email: req.body.email })
     .exec()
      .then(user => {
        if (user.length >= 1) {               // Если почта уже существует
         return res.status(409).json({
          message: "Пользователь уже занят..."
         });
    } else {

    var unixTime = Math.round(+new Date()/1000);

    const user = new User({
     _id: new mongoose.Types.ObjectId(),
     email: req.body.email,
     password: createHash(randomPass.generate({length: 6, readable: true})),
     country: req.body.country,
     created_at: unixTime,
    });

    user.save().then(result => {
    console.log('Регистрация пользователя');
    res.status(201).json({
      "result":"ok"
    });
    })
    .catch(err => {
      console.log(err);
      res.status(500).json({
      error: err
      });
    });
    }
  });
});

Как считаете, имеет ли он преимущества перед паспортным?

Answer 3

[Sardort2001]

const { Router } = require('express')
const router = Router()
const Users = require('../models/Users')
const bcrypt = require('bcryptjs')
const fileUpload = require('../middleware/fileUpload.js')

router.get('/signin', (req, res, next) => {
    res.render('user/signin', {
        title: 'User sign in'
    })
})

router.get('/signout', (req, res) => {
    req.session.destroy(() => {
        res.redirect('/user/signin')
    })
})

router.post('/signin', async (req, res) => {
    try {
        const { nickname, password } = req.body


        const candidateUser = await Users.findOne({ nickname })
        if (candidateUser) {
            const areSame = await bcrypt.compare(password, candidateUser.password) //true || false
            if (areSame) {
                req.session.userAuth = true
                req.session.users = candidateUser
                res.redirect('/users')
            } else {
                res.redirect('/user/signin')
            }
        } else {
            res.redirect('/user/signin')
        }
    } catch (error) {
        console.log(error);
    }
});

router.get('/signup', (req, res) => {
    res.render('user/signup', {
        title: 'User sign up'
    })
})

router.post('/signup', async (req, res) => {
    const { nickname, name, password } = req.body
    const userHasPassword = await bcrypt.hash(password, 10)

    const users = new Users({
        nickname,
        name,
        password: userHasPassword,
    })

    await users.save()
    res.redirect('/user/signin')
})


module.exports = router