Режим с поддержкой множества пользователей, Аутентификация/Авторизация

[imblowfish]

Задачу можно поделить на несколько частей

• Разработка ui части для авторизации
• Разработка backend части

Библиотеки http://www.passportjs.org/

Готовые сервера для авторизации https://auth0.com/ https://github.com/erkanzileli/go-auth

Примеры С passport.js https://www.dotnettricks.com/learn/nodejs/authentication-authorization-using-passport-js Серия статей об аутентификации, особенно интересен момент, когда подключаются к текущему аккаунту аккаунты с других сервисов (Google, Facebook) и как они хранятся внутри приложения, может пригодиться для хранения информации из телеграм бота и Google в БД, а не conf-файле у нас https://github.com/scotch-io/easy-node-authentication

В идеале, после завершения этой задачи можно избавиться от Proxy в конфиге и каких-либо изменений конфигурационного файла оставив его только для того, для чего он предназначен - базовая конфигурация приложения

[imblowfish]

Тут годно шаги расписаны https://stackoverflow.com/questions/33422511/understanding-authentication-flow-with-refresh-and-access-tokens-on-nodejs-app https://medium.com/@sugandhasaxena1212/access-token-and-refresh-token-with-node-js-a501e1cc034b

• Once the user is verified by the basic authentication algorithms, jwt is used to issue a short-lived access token and a long-lived refresh token.
• When the client wants to access some resource, the application acts on his behalf and tries to consume the API using the access token in the request authorization header.
• The resource server verifies the access token and returns the required information.
• If the access token is expired the application presents the refresh token to get a new access token along with an updated refresh token.
• The refresh token remains valid until it expires, or the user signs out and the refresh token is invalidated.
• Several other checks can be applied along with the validation of the two tokens, like comparing the time that the last update to the tokens was made and denying reissue if too long has passed. Or keeping track of a valid state maintained in the database, which can be confirmed while issuing new tokens.

Тут годные диаграмки https://www.bezkoder.com/node-js-jwt-authentication-mysql/

Более-менее новые примеры с JWT https://medium.com/quick-code/how-to-use-jwt-for-express-nodejs-628ddf9f7c83 https://www.digitalocean.com/community/tutorials/nodejs-jwt-expressjs#step-2-authenticating-a-token

Хэширование паролей на стороне сервера https://www.codespot.org/hashing-passwords-in-nodejs/ https://attacomsian.com/blog/nodejs-password-hashing-with-bcrypt https://www.loginradius.com/blog/engineering/hashing-user-passwords-using-bcryptjs/ https://jasonwatmore.com/post/2020/07/20/nodejs-hash-and-verify-passwords-with-bcrypt

[imblowfish]

MDN с описанием flow для Basic Auth https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication#basic_authentication_scheme

[imblowfish]

• [x] Хранение localStorage и uuid на стороне frontend в localStorage
• [x] Реализация страницы login, register и кнопки logout в Header
• [x] Обработчик ошибок 401 и пересылка автоматом на /login на стороне frontend
• [x] Подумать, возможно будет лучше не генерировать по умолчанию access_token на основе refreshToken, а по запросу со стороны frontend
• [x] Организация доступа каждого пользователя к своим апплетам
• [x] Обновить работу с Thunder https://github.com/rangav/thunder-client-support
• [x] Обновление ui в соответтсвии с изменениями в backend

[imblowfish]

Дополнил запросы в Thunder Environment'ом Нужно зайти в Thunder->Env, там создать Env с параметрами access_token username password При login получить access_token, вписать к переменной и сохранить После этого зайти в Collections->Выбрать коллекцию->Settings, там выбрать привязку к Environment

[imblowfish]

В данной задаче не сделаны

• Корректная проверка кодов ответа в ui (оставил на задачу с переработкой интерфейса)
• Поддержка нескольких пользователей в сервисах (оставил на задачу с доработкой телеграм бота) Также, в будущем стоит добавить специальный токен для разработки, чтобы в Debug режиме не вводить логиниться при переходе с ui на thunder запросы

[imblowfish]

Еще в этой задаче не сделан перезапрос токена доступа, это тоже решил оставить на задачу по переработке ui