Cet article explore l'authentification des utilisateurs dans une application de pile moyenne, utilisant une architecture commune: une application angulaire à une seule page interagissant avec une API REST basée sur Node.js, express.js et mongodb. Nous couvrirons les aspects clés de la gestion des utilisateurs sécurisés.
Défis d'authentification de base:
Le processus nécessite de traiter plusieurs points cruciaux:
- Enregistrement de l'utilisateur.
- Stockage de données sécurisé (les mots de passe sont jamais stockés directement).
- Connexion de l'utilisateur.
- Maintenir des séances utilisateur actives sur les visites de page.
- restreindre l'accès à des pages spécifiques pour les utilisateurs authentifiés uniquement.
- Ajuster dynamiquement l'interface utilisateur en fonction de l'état de connexion (par exemple, affichage des boutons "connexion" ou "mon profil").
Présentation d'authentification de haut niveau:
Avant de plonger dans le code, examinons le flux d'authentification de haut niveau:
- stockage de données: Les données utilisateur, y compris les mots de passe hachés, résident dans MongoDB.
- API (express.js): Une API express.js gère les opérations de création, de lecture, de mise à jour et de suppression (crud) pour les données utilisateur.
- Interaction c?té client (angulaire): L'application angulaire interagit avec l'API, gérant les interactions utilisateur et l'état de session à l'aide de jetons Web JSON (JWTS).
- JWTS: JWTS, en remplacement des cookies traditionnels, sont idéaux pour les applications d'une seule page qui s'appuient sur des API reposantes. Ils sont générés lors de l'inscription ou de la connexion réussie.
- Gestion de session: Angular stocke le JWT pour maintenir les séances utilisateur. La validité de JWT est vérifiée avant d'afficher des vues protégées. Le JWT est renvoyé à l'API express pour l'accès à l'itinéraire protégé.
- Sécurité: Les mots de passe sont hachés et salés à l'aide du module Node.js
crypto. Passport.js, dans Express, met en ?uvre des stratégies d'authentification (en particulier, la stratégie locale pour la vérification du nom d'utilisateur / mot de passe).
Exemple de structure d'application:
Le code complet est disponible sur GitHub. Les conditions préalables incluent Node.js, MongoDB et la CLI angulaire
Application angulaire:
L'application angulaire comprend quatre pages de base:
- Home
- enregistrer
- Connexion
- Profil (accessible uniquement aux utilisateurs connectés)
API REST (Node.js, express.js, mongodb):
L'API comprend trois routes principales:
-
/api/register(Post): Enregistrement des utilisateurs. -
/api/login(POST): Login utilisateur. -
/api/profile/:USERID(get): récupère les détails du profil utilisateur (protégé).
Schéma mongodb (Mongoose):
Un schéma utilisateur simple dans /api/models/users.js définit les champs email, name, hash et salt. Le champ email est unique.
var userSchema = new mongoose.Schema({
email: { type: String, unique: true, required: true },
name: { type: String, required: true },
hash: String,
salt: String
});
Hachage et salage de mot de passe:
les méthodes setPassword et validPassword, en tirant parti du module Node.js crypto, gérez la gestion des mots de passe sécurisés sans stocker directement les mots de passe.
userSchema.methods.setPassword = function(password) {
this.salt = crypto.randomBytes(16).toString('hex');
this.hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
};
userSchema.methods.validPassword = function(password) {
var hash = crypto.pbkdf2Sync(password, this.salt, 1000, 64, 'sha512').toString('hex');
return this.hash === hash;
};
GéNéRATION JWT:
La méthode generateJwt utilise le module jsonwebtoken pour créer des JWT. N'oubliez pas de stocker votre secret en toute sécurité, idéalement en tant que variable d'environnement, pas directement dans le code.
userSchema.methods.generateJwt = function() {
var expiry = new Date();
expiry.setDate(expiry.getDate() + 7);
return jwt.sign({
_id: this._id,
email: this.email,
name: this.name,
exp: parseInt(expiry.getTime() / 1000),
}, "MY_SECRET");
};
Passport.js Configuration:
Passport.js simplifie l'authentification dans Express. Le fichier /api/config/passport.js définit la stratégie locale:
passport.use(new LocalStrategy({ usernameField: 'email' }, function(username, password, done) {
User.findOne({ email: username }, function(err, user) {
// ... (error handling and password verification logic) ...
});
}));
Points de terminaison de l'API et authentification:
Le fichier /api/routes/index.js définit les routes API, y compris le middleware pour l'authentification JWT à l'aide de express-jwt:
var auth = jwt({ secret: 'MY_SECRET', userProperty: 'payload' });
router.get('/profile', auth, ctrlProfile.profileRead);
Service d'authentification angulaire:
Un service angulaire (authentication.service.ts) gère le stockage JWT (localstorage), la récupération, la suppression, les appels d'API, les vérifications d'état de connexion et l'extraction des détails de l'utilisateur de la JWT.
Protection des itinéraires angulaires:
Une garde de route angulaire (auth-guard.service.ts) protège l'itinéraire /profile, assurant que seuls les utilisateurs connectés peuvent y accéder.
Conclusion:
Ce guide complet détaille la construction d'un système d'authentification sécurisé dans une application de pile moyenne. N'oubliez pas de toujours hiérarchiser la gestion de mot de passe sécurisée et la gestion de JWT. L'exemple fourni offre une base solide pour la mise en ?uvre d'une authentification robuste des utilisateurs dans vos propres projets.
Questions fréquemment posées (FAQ): (Les FAQ d'origine sont déjà assez complètes et bien écrites. Je ne les répéterai pas ici, car les ajouter rendrait cette réponse excessivement longue.)
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Comment faire une demande HTTP dans Node.js?
Jul 13, 2025 am 02:18 AM
Il existe trois fa?ons courantes d'initier des demandes HTTP dans Node.js: utilisez des modules intégrés, Axios et Node-Fetch. 1. Utilisez le module HTTP / HTTPS intégré sans dépendances, ce qui convient aux scénarios de base, mais nécessite un traitement manuel de la couture des données et de la surveillance des erreurs, tels que l'utilisation de https.get () pour obtenir des données ou envoyer des demandes de post via .write (); 2.AXIOS est une bibliothèque tierce basée sur la promesse. Il a une syntaxe concise et des fonctions puissantes, prend en charge l'async / attendre, la conversion JSON automatique, l'intercepteur, etc. Il est recommandé de simplifier les opérations de demande asynchrones; 3.Node-Fetch fournit un style similaire à la récupération du navigateur, basé sur la promesse et la syntaxe simple
Types de données JavaScript: référence primitive vs
Jul 13, 2025 am 02:43 AM
Les types de données JavaScript sont divisés en types primitifs et types de référence. Les types primitifs incluent la cha?ne, le nombre, le booléen, le nul, un non défini et le symbole. Les valeurs sont immuables et les copies sont copiées lors de l'attribution des valeurs, de sorte qu'elles ne se affectent pas; Les types de référence tels que les objets, les tableaux et les fonctions stockent les adresses de mémoire, et les variables pointant vers le même objet s'afferchent mutuellement. Le typeof et l'instance de OFF peuvent être utilisés pour déterminer les types, mais prêtent attention aux problèmes historiques de typeofnull. Comprendre ces deux types de différences peut aider à écrire un code plus stable et fiable.
Objet JavaScript Time, quelqu'un construit un site Web Eactexe, plus rapide sur Google Chrome, etc.
Jul 08, 2025 pm 02:27 PM
Bonjour, développeurs JavaScript! Bienvenue dans JavaScript News de cette semaine! Cette semaine, nous nous concentrerons sur: le différend de marque d'Oracle avec Deno, les nouveaux objets Time JavaScript sont pris en charge par les navigateurs, les mises à jour Google Chrome et certains outils de développeurs puissants. Commen?ons! Le différend de marque d'Oracle avec la tentative de Deno Oracle d'enregistrer une marque "JavaScript" a provoqué la controverse. Ryan Dahl, le créateur de Node.js et Deno, a déposé une pétition pour annuler la marque, et il pense que JavaScript est un niveau ouvert et ne devrait pas être utilisé par Oracle
Gestion des promesses: cha?nage, gestion des erreurs et combinateurs de promesses en javascript
Jul 08, 2025 am 02:40 AM
La promesse est le mécanisme central pour gérer les opérations asynchrones en JavaScript. Comprendre les appels de cha?ne, la gestion des erreurs et les combinants est la clé pour ma?triser leurs applications. 1. L'appel de la cha?ne renvoie une nouvelle promesse à travers. Puis () pour réaliser la concaténation des processus asynchrones. Chaque .then () re?oit le résultat précédent et peut renvoyer une valeur ou une promesse; 2. La gestion des erreurs doit utiliser .catch () pour attraper des exceptions pour éviter les défaillances silencieuses, et peut renvoyer la valeur par défaut dans Catch pour continuer le processus; 3. Combinateurs tels que promesse.all () (réussi avec succès uniquement après tout succès), promesse.race () (le premier achèvement est retourné) et promesse.allsetTled () (en attente de toutes les achèvements)
Qu'est-ce que l'API Cache et comment est-elle utilisée avec les travailleurs du service?
Jul 08, 2025 am 02:43 AM
Cacheapi est un outil fourni par le navigateur pour mettre en cache les demandes de réseau, qui est souvent utilisée en conjonction avec travailleur de service pour améliorer les performances du site Web et l'expérience hors ligne. 1. Il permet aux développeurs de stocker manuellement des ressources telles que des scripts, des feuilles de style, des photos, etc.; 2. Il peut faire correspondre les réponses du cache en fonction des demandes; 3. Il prend en charge la suppression des caches spécifiques ou la nettoyage du cache entier; 4. Il peut mettre en ?uvre des stratégies de priorité de cache ou de priorité de réseau grace à l'écoute des événements Fetch; 5. Il est souvent utilisé pour le support hors ligne, accélérez la vitesse d'accès répétée, préchargement des ressources clés et du contenu de mise à jour des antécédents; 6. Lorsque vous l'utilisez, vous devez faire attention au contr?le de la version du cache, aux restrictions de stockage et à la différence entre le mécanisme de mise en cache HTTP.
JS Roundup: une plongée profonde dans la boucle d'événement JavaScript
Jul 08, 2025 am 02:24 AM
La boucle d'événement de JavaScript gère les opérations asynchrones en coordonnant les piles d'appels, les webapis et les files d'attente de taches. 1. La pile d'appels exécute du code synchrone, et lors de la rencontre de taches asynchrones, il est remis à WebAPI pour le traitement; 2. Une fois que le WebAPI a terminé la tache en arrière-plan, il met le rappel dans la file d'attente correspondante (macro tache ou micro tache); 3. La boucle d'événement vérifie si la pile d'appels est vide. S'il est vide, le rappel est retiré de la file d'attente et poussé dans la pile d'appels pour l'exécution; 4. Micro taches (comme Promise. puis) ??prendre la priorité sur les taches macro (telles que Settimeout); 5. Comprendre la boucle d'événements permet d'éviter de bloquer le thread principal et d'optimiser l'ordre d'exécution du code.
Comprendre l'événement bouillonnant et capturer dans les événements JavaScript DOM
Jul 08, 2025 am 02:36 AM
Les bulles d'événements se propagent de l'élément cible vers l'extérieur vers le n?ud d'ancêtre, tandis que la capture d'événements se propage de la couche externe vers l'intérieur vers l'élément cible. 1. événements Bubbles: Après avoir cliqué sur l'élément enfant, l'événement déclenche l'auditeur de l'élément parent vers le haut. Par exemple, après avoir cliqué sur le bouton, il sortira d'abord cliqué sur l'enfant, puis parent. 2. Capture d'événement: définissez le troisième paramètre sur true, afin que l'auditeur soit exécuté dans l'étape de capture, tels que le déclenchement de l'écouteur de capture de l'élément parent avant de cliquer sur le bouton. 3. Les utilisations pratiques incluent la gestion unifiée des événements d'éléments enfants, le prétraitement d'interception et l'optimisation des performances. 4. Le flux d'événements DOM est divisé en trois étapes: capture, cible et bulle, et l'écouteur par défaut est exécuté dans l'étape de la bulle.
Un tour d'horizon des fonctions d'ordre supérieur au-delà de la carte et du filtre
Jul 10, 2025 am 11:41 AM
Dans les tableaux JavaScript, en plus de la carte et du filtre, il existe d'autres méthodes puissantes et rarement utilisées. 1. La réduction peut non seulement résumer, mais également compter, se regrouper, aplatir les tableaux et construire de nouvelles structures; 2. Find et FindIndex sont utilisés pour trouver des éléments ou des index individuels; 3.Il et tout sont utilisés pour déterminer si les conditions existent ou que toutes les personnes se rencontrent; 4.Sort peut être trié mais changera le tableau d'origine; 5. Faites attention à la copie du tableau lorsque vous l'utilisez pour éviter les effets secondaires. Ces méthodes rendent le code plus concis et efficace.
