express-session, passport, mongodb で認証を試してみる
passportを使って認証を行い、sessionの情報をmongodbに保存してみます。
passportのデフォルトだと、sessionの情報はメモリへの保存になっており、実用向けではなく、作成したサーバを再起動すると情報は失われます。
今回はsession情報をmongodbに保存する、なんかよくある(らしい)感じの実装のテストを行います。
ユーザの認証について、ユーザ名aaa, パスワードbbbでのみ認証するザル実装です。
0. 前提
1. 実装
2. 確認
0. 前提
・試した環境は さくらVPS CentOS7
・node v7.4.0
・express-session v1.15.0
・passport v0.3.2
・mongoose v4.8.0
・mongodbのポート番号はデフォルトの番号で行っております。必要があれば変更してください。
・MongoDBは導入済み
・passportによる簡単な認証は完了済み
・express-sessionの動作確認は完了済み(passportと同じ記事を参照)
1. 実装
前提としている記事の続きという形で、express-generatorを用いて作成したひながたを編集します。
今回新たに使用するモジュールをインストールします。すでにインストール済みのものは行う必要はありません。
$npm install --save mongoose $npm install --save connect-mongo $npm install --save express-session
続いてコードの編集です。
今回の編集箇所は「◆」のマークが付いている箇所です。
今までの編集箇所も違うマークで表しています。
編集した各ファイルを貼り付けていきます。
app.js
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var passport = require('passport'); // ★追加
var LocalStrategy = require('passport-local').Strategy; // ★追加
var session = require('express-session'); // ◆追加
var mongoose = require('mongoose'); // ◆追加
var MongoStore = require('connect-mongo')(session); // ◆追記
var index = require('./routes/index');
var users = require('./routes/users');
var app = express();
// ◆追加
mongoose.connect('mongodb://localhost:27017/sessiontest');
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
// ★この段落を新規追加
// passportの認証を実装します。
app.use(passport.initialize());
passport.use(new LocalStrategy(function(username, password, done){
// ユーザ名aaa パスワードbbbのときだけ認証成功とします
if(username !== 'aaa' || password !== 'bbb'){
console.log('login failed');
return done(null, false);
}
console.log('login successed');
return done(null, username);
}));
// ◆追加 secretには好きな文字列を入れてください。
app.use(passport.session());
app.use(session({
secret: 'demopechinogamottokawaiiyo-',
store: new MongoStore({ mongooseConnection: mongoose.connection })
}));
// ◆追加
passport.serializeUser(function(username, done){
done(null, username);
});
passport.deserializeUser(function(id, done) {
debugger;
User.findById(id, function(err, username){
done(err, username);
});
});
app.use('/', index);
app.use('/users', users);
// ★この段落追加 ◆編集
app.post('/login', passport.authenticate('local', {
// 認証失敗時にはrootページリダイレクトします
failureRedirect: '/'
}), function(req, res) {
console.log(req.session);
// 認証成功時にはindexに飛ばします
res.redirect('/');
});
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handler
app.use(function(err, req, res, next) {
// set locals, only providing error in development
res.locals.message = err.message;
res.locals.error = req.app.get('env') === 'development' ? err : {};
console.log(err.message);
// render the error page
res.status(err.status || 500);
res.render('error');
});
module.exports = app;
routes/index.js
var express = require('express');
var router = express.Router();
// ◆編集あり
/* GET home page. */
router.get('/', function(req, res, next) {
console.log(req.session);
if (req.session.passport && req.session.passport.user){
res.render('index', { title: 'Express(for ' + req.session.passport.user + ')
' });
} else {
res.render('index', { title: 'Express' });
}
});
module.exports = router;
2. 確認
以下の3点を確認します。
2.1. 認証後に一度ページを閉じて再度アクセスしてもsessionによりユーザ名が表示される
2.2. 認証後にサーバを再起動してもmongodbに保存されたセッション情報によりユーザ名が表示される
2.3. 認証後にmongodbを開いて、セッションがどのように保存されるかを確認する
2.1.
(例)
$npm start (http://ipアドレス:ポート番号/にアクセス) (サイトで左側の入力欄に'aaa'、右側の入力欄に'bbb'を入力してボタンを押下する) (同じページにリダイレクトされ、画面がユーザ名(aaa)向けとなっていることが確認できる)
2.2.
(例)
(Ctrl + Z で一度サーバを停止する) $npm start (http://ipアドレス:ポート番号/にアクセス) (画面がユーザ名(aaa)向けとなっていることが確認できる)
2.3.
(Ctrl + Z で一度サーバを停止する)
(mongodbのシェル mongoを起動する)
$mongo
(データベースの一覧を表示し、sessiontestがあることを確認する)
>show dbs
(sessiontestテーブルを選択する)
>use sessiontest
(collection一覧を表示し、sessions collectionがあることを確認する)
>show collections
(sessions collectionの中身を全件表示してみる)
>db.sessions.find()
(私の環境では以下のような内容となりました)
{ "_id" : "ZkhC6hm5okuTAssAC8XriskPCyOQtwc8", "session" : "{\"cookie\":{\"originalMaxAge\":null,\"expires\":null,\"httpOnly\":true,\"path\":\"/\"},\"passport\":{\"user\":\"aaa\"}}", "expires" : ISODate("2017-02-13T07:01:57.637Z") }
mongodbをsession storeとしてsessionを試すことができました。
sessionの設定により、色々挙動が変わると思いますので、そちらを今後試してみたいと思っています。
