该策略的实现与passport.authenticate结合使用,既可以验证请求,也可以处理成功/失败.
假设您正在使用此路由(通过邮箱地址和密码):
app.post('/login', passport.authenticate('local', {
successRedirect: '/loggedin',
failureRedirect: '/login', // see text
failureFlash: true // optional, see text as well
});
这将调用策略中的代码,其中可能出现以下三种情况之一:
- 试图获取用户信息时发生内部错误(如数据库连接已断开);这个错误将被传递:
next(err);这将由Express处理并生成HTTP 500响应;
- 提供的凭据无效(没有提供邮箱地址的用户,或者密码不匹配);在这种情况下,不会生成错误,但会将
false作为用户对象传递:next(null, false);这将触发failureRedirect(如果不定义一个,将生成HTTP 401未经授权的响应);
- 所有的东西都被判断出来,你有一个有效的用户对象,所以你传递它:
next(null, user);这将触发successRedirect;
如果身份验证无效(但不是内部错误),您可以在回调时传递额外消息:
next(null, false, { message : 'invalid e-mail address or password' });
如果您使用了failureFlash and the connect-flash middleware,则提供的消息将存储在会话中,并且可以轻松访问,例如在模板中使用.
EDIT:还可以自己完全处理身份验证过程的结果(而不是Passport发送重定向或401):
app.post('/login', function(req, res, next) {
passport.authenticate('local', function(err, user, info) {
if (err) {
return next(err); // will generate a 500 error
}
// Generate a JSON response reflecting authentication status
if (! user) {
return res.send({ success : false, message : 'authentication failed' });
}
// ***********************************************************************
// "Note that when using a custom callback, it becomes the application's
// responsibility to establish a session (by calling req.login()) and send
// a response."
// Source: http://passportjs.org/docs
// ***********************************************************************
req.login(user, loginErr => {
if (loginErr) {
return next(loginErr);
}
return res.send({ success : true, message : 'authentication succeeded' });
});
})(req, res, next);
});