Nuxt + Express. Как сделать аутентификацию?

Question

[Renhor]

Доброе утро! В этом вопросе я нуб, требуется помощь.

На Php все было легко, при регистрации записывал в БД к пользователю хеш и этот же хеш закидывал в куки. Когда юзер заходил на сайт, хеш сравнивался и если подходил - юзера автоматически логинило на сайт. Плюс легко было сделать проверку уровня доступа (юзер или админ), после доп. проверок просто добавлял в сессию уровень доступа. На нужных страницах - проверял уровень доступа.

Все это делалось в несколько строк кода.

Сейчас начал разрабатывать spa используя Nuxt + Express.
Еле-еле разобрался с Sequelize (и то, на начальном уровне, но для дальнейших шагов пока хватит. До этого орм не использовал).

Получается мне нужно сделать что-то подобное. В готовых решениях, коих я перелопатил за несколько дней достаточное количество, используется очень много РАЗНЫХ прикладных вещей - passport, разные стратегии к нему, express-session, bodyparser - запомнил те, которые встречаются чаще всего, вот я и запутался окончательно.

Спасите xD

Answer 1

[Антон Швец]

https://medium.com/devschacht/node-hero-chapter-8-...

passport - просто обертка, задающая единый интерфейс для авторизаций, которые выбираются как "стратегии". Если задан интерфейс, можно делать стратегии к нему в виде пакетов, которые и берут из npm. Для простой авторизации из БД достаточно local, только запрос нужно самому написать, как в мануале по ссылке выше.
express-session - пакетик, добавляющий куки клиенту, читающий его и помещающий соответствующую запись из бд в req.session
body-parser - парсит содержимое http-сообщения и если там json или скажем данные формы, то делает из этого объект и помещает в req.body. Не работает с multipart, для этого нужны другие пакеты.

На JWT особо не ведитесь, плюсов от него немного, нужно понимать где он пригодится, а где не очень. Хотя конечно знать как оно устроено надо.

Comments

[Renhor]

Я находил этот пример, есть пара вопросов:

1) Как заменить Redis на mysql?
2) Как добавить на некоторые роуты дополнительную проверку по уровню доступа пользователя?
3) Все это будет работать на SPA? То есть, я помню примеры с JWT токеном, там надо было в клиентском коде, если токен существует - дописывать его в заголовки страниц, тут подобных манипуляций не нужно делать?
4) Если не нужно, то как управлять временем жизни куки?

[Антон Швец]

Renhor, https://www.npmjs.com/package/express-session - все написано по кукам.
Дополнительные проверки на роуты добавляются как обычно - миддлварями. https://expressjs.com/ru/guide/using-middleware.html
Для доступа конечно есть разные решения (https://www.npmjs.com/package/acl ), часто используют самописные, там ничего сложного.
SPA ничем не отличается от не SPA, это такие же запросы. Куки это тоже заголовок страницы, только браузер выставляет их сам. Для jwt отправляется токен, для сессий - ssid, суть одна.

[Philipp]

JWT мало чем отличается от куки, но у него есть существенные преимущества, которые проявляются с применением значительного количества микросервисов.

[Антон Швец]

Philipp, JWT вообще никак не соотносится с куки, нет проблем засунуть токен и куку и использовать себе.

Answer 2

[nvdfxx]

passport-jwt, околостандарт сейчас для spa вроде как