使用 Nodejs 搭建一个 OAuth2.0 服务

前言

近日,开发 DCOS 项目的过程中,曹老板提出为该平台提供一个 OAuth2 服务,并以此作为平台的基础登录认证方式。
此先,平台使用了组内的 LDAP 单点登录,用户的验证已有现成的服务器处理。在此基础上的 OAuth2 服务器功能简单、明确,考虑尝试用 nodejs 搭建一个中间件。

OAuth 2.0

OAuth 2.0 是一个关于授权(Authorization)的开放网络标准,在全世界范围内得到了广泛的应用,目前的版本是2.0版本。因此,OAuth2.0 并不是一个具体的程序或者应用,而是一个协议,一套完整、安全的授权方式的规范。
对 OAuth 2.0的规范,大可以另写一文详解,不在此文阐述范围。此处推荐:

使用 Nodejs

由于 DCOS 官方本身提供了 auth 的基础模型,前端显示并不需要过多的修改,选择继续沿用 react + browsify + gulp 的实现。服务器端,采用了 express + mongodb 的轻量级框架搭建此中间层应用。
完整结构:

  • react : 应用层 UI
  • express : RESTful API 处理
  • mongodb : 数据持久化
    此外,在 Github 上找到了基于 Nodejs 的 OAuth2.0 成熟工具库 node-oauth2-server,在理解 OAuth2.0 的基础上,阅读其文档,便可通过实现其 API 便捷的开发出满足需求的服务了。

具体实现

授权流程

本服务选用了 OAuth2.0 标准的 Authorization Code 授权方式,其具体的授权过程如下:

  1. 打开客户端,进行本地登录检测,若尚无本地登录,则进行后续步骤
  2. 客户端跳转到 OAuth 服务提供的用户认证界面,并在 uri 中带有授权方式(此处为 authorize_code,但必须标识),客户端 id,回调地址(方便 OAuth 服务器返回应用的界面)
  3. 用户进行用户名密码登录,此处为 LDAP 验证
  4. 验证成功,服务器生成授权码 authentication_code,并附在先前取得的回调 uri 中,返回 DCOS 应用
  5. DCOS 接收到带有授权码的请求,说明已经获得了 OAuth服务器的授权,此时带着客户端 id、客户端 secret、授权码,向 OAuth 服务器换取 Access Token。
  6. DCOS 客户端得到成功换去的 Token,在本地记录登陆的用户以及其现有 Token。利用 Token 请求相应可见的资源。

API 实现

node-oauth2-server 对 OAuth2.0 的相关操作提供了处理流,并将 API 暴露给用户进行订制。通过新建 oauth-server 对象并传参,调用其接口,就能实现完整的 OAuth 验证。
以下为 Authorization Code Grant 方式的说明:

Authorization Code

实现 Model functions:
如文档所述,我们一次实现这些接口,以 getAuthorizationCode 为例:

getAuthorizationCode

意思是说,该接口会调用 saveAuthorizationCode 方法获取一个已经存在的授权码。实现此方法,需要严格的按照文档所要求的输入参数,返回 json 格式书写。下面是具体的实现示例:

getAuthorizationCode implemetation

本中间件选用了 mongoose 来操作 mongodb 进行数据存储,此处不过多的赘述。代码大意为,根据传入的 code 值查找 authenticationCode schema,最终返回完整的 Code 对象。

根据以上流程,一一实现 Model function 即可。

URI 规范

上文中已经提及了 OAuth2.0 协议的规范 RFC6749,本项目亦严格遵循其要求。(其实不根据这个要求书写的话, node-oauth2-server 的处理流就会报错)
此处,简单归纳并列出:

1.跳转到 OAuth认证界面:
http://localhost:3000/?response_type=code&client_id=dc-njuics-cn&redirect_uri=http://localhost%3A4200
2.返回客户端界面:
http://localhost:4200/auth?code=123

总结

本次实践使用 Nodejs 完整地搭建了一个中间件服务器,并严格遵守 OAuth2.0 协议,利用开源库,开发出了可用性、可拓展性良好的应用,并即将投入到生产环境中,获益匪浅。
至于过程中的坑,莫过于对开源库 API 文档阅读的不细致,抓不住要点,导致控制流各种报错。大费周章的阅读源码,其实是接口的数据格式有误,小题大做,导致开发效率较低。
此外,拿到项目后应有意识的阅读业界规范,并以此为基础进行具体实现,做出的东西才有使用价值。

项目地址:https://github.com/RobottDog/DCOS-Auth,如果喜欢,请给我一个 star 吧~
个人博客:https://robottdog.com

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容