Passport.js：passport-facebook-token策略，通过JS SDK登录，然后验证护照？

本周我花了几天时间研究如何最佳地使用Facebook身份验证来保护私有API，使用passport.js - passport-facebook-token就非常适合这个需求。

你的想法是正确的，这确实是两种不同的身份验证策略，你无需安装passport-facebook即可使用passport-facebook-token。

如果你已经在客户端JS（或iOS等）中实现了Facebook身份验证，并且正在寻找一种方法来使用用户的Facebook authToken对API请求进行身份验证，那么passport-facebook-token是一个非常优雅的解决方案。

passport-facebook-token完全独立于passport-facebook工作，基本上在内部处理Facebook所需的重定向，然后将请求传递给你的控制器。

因此，要使用passport-facebook-token对API路由进行身份验证，你需要设置一个像下面这样的passport策略：

passport.use('facebook-token', new FacebookTokenStrategy({
    clientID        : "123-your-app-id",
    clientSecret    : "ssshhhhhhhhh"
  },
  function(accessToken, refreshToken, profile, done) {
    // console.log(profile);

    var user = {
        'email': profile.emails[0].value,
        'name' : profile.name.givenName + ' ' + profile.name.familyName,
        'id'   : profile.id,
        'token': accessToken
    }

    // You can perform any necessary actions with your user at this point,
    // e.g. internal verification against a users table,
    // creating new user entries, etc.

    return done(null, user); // the user object we just made gets passed to the route's controller as `req.user`
  }
));

值得注意的是，在passport-facebook-token的自述文件中使用的User.findOrCreate方法不是默认的mongo/mongoose方法，而是一个插件，如果您想使用它，您需要安装它。

要将此身份验证策略用作任何路由的中间件，您需要将一个access_token对象作为URL参数或作为请求正文的属性传递给它。

app.get('/my/api/:access_token/endpoint', 
        passport.authenticate(['facebook-token','other-strategies']), 
        function (req, res) {

            if (req.user){
                //you're authenticated! return sensitive secret information here.
                res.send(200, {'secrets':['array','of','top','secret','information']});
            } else {
                // not authenticated. go away.
                res.send(401)
            }

        }

注意，access_token属性是大小写敏感的，并且使用下划线。 passport-facebook-token的文档不够详细，但源代码注释良好，非常易读，因此我鼓励您自己去看看。这确实有助于我理解passport的一些更通用的工作方式。