एक बार ही पासवर्ड (उर्फ एकल-उपयोग टोकन) पासवर्ड फिर सेट करता है के लिए रणनीति कुछ है कि मैं लागू करेंगे है:
वह कुछ इस तरह होना चाहिए। पासपोर्ट के आर्किटेक्चर को देखते हुए, यह आसानी से एक अलग मॉड्यूल हो सकता है और यह मुझे आश्चर्यचकित नहीं करेगा कि किसी और ने पहले ही ऐसी चीज लागू की है।
मुझे याद रखें और दृढ़ता टोकन कार्यक्षमता भी कुछ है जिसे मैं समर्थन देना चाहता हूं। अधिमानतः, मैं चाहता हूं कि यह एक अलग रणनीति भी हो, लेकिन इसे कुछ मूल समर्थन की आवश्यकता हो सकती है। यदि यह मामला सामने आता है, तो req.logIn
(https://github.com/jaredhanson/passport/blob/master/lib/passport/http/request.js#L28) में कुछ अतिरिक्त लाइनें इसे कवर करने में सक्षम होना चाहिए।
सत्र में उपयोगकर्ता आईडी संग्रहीत करने के लिए, मुझे कोई बड़ा जोखिम नहीं दिखता है, डिफ़ॉल्ट रूप से कनेक्ट/एक्सप्रेस में, सत्र गुण पूरी तरह से बैकएंड में संग्रहीत होते हैं और एक अद्वितीय sid
सेट किए जाते हैं एक एन्क्रिप्टेड कुकी में। अनुरोधों को धोखा देने के लिए एक दुर्भावनापूर्ण उपयोगकर्ता को अद्वितीय सिड और सत्र रहस्य दोनों रखना होगा।
मोज़िला ब्राउज़र पहचान को कम करने वाले अन्य प्रदाताओं के लिए ब्राउज़र आईडी को पुल करने के लिए पासपोर्ट का उपयोग अपने पहचान प्रयास के हिस्से के रूप में कर रहा है (browserid-bigtent देखें)। उनकी आवश्यकताओं को देखते हुए, डेवलपर्स यह सुनिश्चित कर सकते हैं कि पासपोर्ट सख्त सुरक्षा आवश्यकताओं को पूरा करता है।
(आखिरकार पासपोर्ट में सत्र क्रमबद्धता एक आवेदन की ज़िम्मेदारी है, इसलिए सुरक्षा आईडी के लिए वांछित होने पर उपयोगकर्ता आईडी के स्थान पर एक यादृच्छिक टोकन का उपयोग किया जा सकता है। स्पष्ट रूप से यह कुकी में सीधे डेटा संग्रहीत करने पर किया जाना चाहिए, लेकिन मैं ' डी सुझाव देते हैं कि ऐसा करना सबसे खराब सलाह है।)
मॉडल पर उन गुणों का प्रबंधन करने के लिए, पासपोर्ट को पूरी तरह से मॉडल/ओआरएम अज्ञेयवादी के रूप में डिजाइन किया गया है। मैं इस तथ्य को कभी भी बदलने का इरादा नहीं रखता, क्योंकि मुझे लगता है कि उन निर्णयों को एप्लिकेशन के लिए सबसे अच्छा छोड़ दिया गया है (और इस जिम्मेदारी को सौंपने के परिणामस्वरूप पासपोर्ट अधिक लचीला है)। उस ने कहा, मुझे लगता है कि इस कार्यक्षमता को प्रदान करने के लिए पासपोर्ट के शीर्ष पर स्वतंत्र रूप से अन्य मॉड्यूल बनाने के लिए जगह है।
जो कुछ भी कहा गया, मुझे लगता है कि पासपोर्ट मौजूदा नोड.जेएस ऑथ समाधानों का सबसे मजबूत है।आपके पहले तीन अनुरोध इसे और अधिक बनाने के लिए एक लंबा सफर तय करेंगे, और उन्हें पूरा करना आसान होना चाहिए। मुझे इन सुविधाओं को प्राप्त करने में सहयोग करना अच्छा लगेगा, इसलिए मेरे साथ संपर्क करने में संकोच न करें।
अंत में, यदि कोई उत्सुक है, तो प्रथम श्रेणी के एपीआई प्रमाणीकरण वर्तमान में authinfo शाखा पर कामों में है। इस पर बिल्डिंग, passport-http-oauth ओएथ सर्वर रणनीतियों को लागू करता है, जिसे ओथ सर्वरों को इकट्ठा करने के लिए टूलकिट के रूप में oauthorize मिडलवेयर के साथ जोड़ा जा सकता है। यह अभी तक पूरी तरह से पकाया नहीं गया है, लेकिन यह तैयार होने पर पासपोर्ट की एक और प्रभावी विशेषता होगी।
मुझे लगता है कि इसे लागू करना मुश्किल नहीं है, बस इच्छा है कि यह पहले से मौजूद है। –
मैंने एक साथ "मुझे याद रखें" रणनीति बनाई है: https://github.com/jaredhanson/passport-remember-me –