Реализовать клиентскую аутентификацию

[sedovalx]

Сейчас аутентификация происходит на сервере. Страница с логином/паролем - это серверная страница, по факту - отдельное приложение. Клиент же не имеет представления о сессии, текущем пользователе и пр. Аутентификационная информация сохранятется в cookie. На клиенте нам все равно нужен доступ к текущему пользователю, поэтому нужно сделать правильно.

Предлагается на клиенте использовать библиотеку ember-simple-auth с кастомным аутентификатором.

Как реализовать серверную часть кастомной аутентификации мне пока неясно.

Серверная token-аутентификация: https://github.com/jamesward/play-rest-security Видео по клиентской аутентификации: http://www.embercasts.com/episodes/client-side-authentication-part-1 Статья по клиентской token-аутентификации: http://webcloud.info/blog/2014/04/07/emberjs-authentication-the-right-way-javascript-version/

Теория о JWT: https://stormpath.com/blog/token-auth-spa/

Серверная JWT-аутентификация на базе Silhouette: https://github.com/merle-/silhouette-rest-seed

Вероятный выбор: Клиент - https://github.com/jpadilla/ember-cli-simple-auth-token Сервер - https://github.com/merle-/silhouette-rest-seed

[sedovalx]

Вроде бы готово. Для сервера был выбран Play Silhouette Для клиента - ember-simple-auth Из-за того, что первый передает и принимает токены в заголовке сообщений, а второй - то в заголовке, то в теле, пришлось немного поработать напильником и скотчем. Это совсем нехорошо, но другого выхода не нашел. Возможно что-то допилят создатели библиотек либо там, либо там

Осталось описать теорию.

[sedovalx]

1. При выходе нужно вызывать серверный метод /api/auth/logout
2. На странице с логином поля нужно перенести в центр по вертикали, а сообщение об ошибке выводить сверху.

[sedovalx]

В результате реализации были добавлены зависимости как от серверных, так и от клиентских библиотек. Поэтому на сервере нужно выполнить перекомпилирование, чтобы подтянулись нужные зависимости. На клиенте же нужно выполнить установку отсутствующих bower и npm пакетов.

• На сервере введен DI контейнер, через который теперь выполняется конфигурирование контроллеров (см. пакет configuration.di). В частности, во все контроллеры, которым нужен доступ к текущему пользователю, либо ограничение доступа по роли пользователя, должен передаваться экземпляр окружения - env. Это делается в модуле PlayModule.
• Добавлена аутентификация пользователя при логине - контроллер AuthController.
• Пароль пользователя в БД теперь хранится в виде специального хеша.
• Для реализации защищенных маршрутов теперь нужно использовать контроллер, наследный от Silhouette. В нем можно объявлять методы с возвращаемым типом SecuredAction. У таких методов есть доступ к текущему аутентифицированному пользователю - через request.identity. Так же для таких методов можно указывать, какой роли пользователя разрешено их выполнять.
• Экран логина перенесен на клиент. На сервере больше нет никакого UI.
• На клиенте все маршруты, которые должны быть доступны только после успешной аутентификации пользователя, следует наследовать от app/routes/base/protected.js.
• У защищенных клиентских маршрутов (и соответствующих контроллеров) есть доступ к объекту сессии, через которую можно получить текущего пользователя - this.get("session").get("currentUser").
• При попытке открыть любой защищенный клиентский маршрут, если пользователь еще неаутентифицирован, будет произведен редирект на страницу с логином. После успешного логина последует автоматических редирект на первоначально запрошенный маршрут. Важно!: это не распространяется на незащищенные маршруты.

[sedovalx]

Закрываю, все вроде бы работает.