NodeBB 自定义sso插件问题请教

---

参考nodebb-plugin-sso-session写了个sso登录插件，但出现了些问题，表现在主站登录后并没有在nodebb登录成功，有时十几次出现一次，有时候频繁出现。在nodebb中打日志发现登录不了的时候有以下现象：

1. 从主站同步数据成功，处理完continueLogin函数，来到src/controllersauthentication.js中的authenticationController.onSuccessfulLogin()，这时生成了req.session.passport：
   10/1 09:21:27 [37124] - info: onSuccessLogIn sessionId=gjeFe8KsBiXlbbPkEMgnHxrD1l_KPzb1 req.session={"cookie":{"originalMaxAge":1209600000,"expires":"2017-01-24T01:21:27.133Z","httpOnly":true,"domain":".mydomain.cn","path":"/"},"csrfSecret":"SgW2ayatX0nQMhvStH_jan2T","passport":{"user":6},"meta":{"ip":"127.0.0.1","uuid":"42cea1ef-2f58-417f-a31e-c9fb8cb8f8d6","datetime":1484011287135,"platform":"Microsoft Windows","browser":"Chrome","version":"54.0.2840.71"}}

2. 但session还没保存时，另一个url的请求进来了，这时req.session是没有passport的：
   node_modules\passport\lib\middleware\initialize.js中的function initialize(passport):
   10/1 09:21:27 [37124] - info: passport initialize url=/vendor/jquery/timeago/locales/jquery.timeago.zh-CN.js?_=1484011286686 req from 127.0.0.1 session={"cookie":{"originalMaxAge":1209599999,"expires":"2017-01-24T01:21:27.070Z","httpOnly":true,"domain":".mydomain.cn","path":"/"},"csrfSecret":"SgW2ayatX0nQMhvStH_jan2T"}

3. login保存session：
   node_modules\express-session\index.js中的req.session.save(function onsave(err)) :
   10/1 09:21:27 [37124] - info: express-session session.save onsave url=/login {"cookie":{"originalMaxAge":1209600000,"expires":"2017-01-24T01:21:27.148Z","httpOnly":true,"domain":".mydomain.cn","path":"/"},"csrfSecret":"SgW2ayatX0nQMhvStH_jan2T","passport":{"user":6},"meta":{"ip":"127.0.0.1","uuid":"42cea1ef-2f58-417f-a31e-c9fb8cb8f8d6","datetime":1484011287135,"platform":"Microsoft Windows","browser":"Chrome","version":"54.0.2840.71"}} err=null

4. url=/vendor/jquery/timeago/locales/jquery.timeago.zh-CN.js?=1484011286686 保存session：
   node_modules\express-session\index.js中的req.session.save(function onsave(err)) :
   10/1 09:21:27 [37124] - info: express-session session.save onsave url=/vendor/jquery/timeago/locales/jquery.timeago.zh-CN.js?=1484011286686 {"cookie":{"originalMaxAge":1209599999,"expires":"2017-01-24T01:21:27.143Z","httpOnly":true,"domain":".mydomain.cn","path":"/"},"csrfSecret":"SgW2ayatX0nQMhvStH_jan2T"} err=null

导致了login产生的passport被覆盖，登录不成功。
关闭自定义的sso，用nodebb自带的登录界面，则不会出现这样交叉的情况。没想清楚原因。请版主指点指点：）

用的是 passport.js 吗？ passport 的登录回调只有一个呀， 怎么有多个 url 请求？ 能否把你的源代码贴一下，这样看看不懂唉

回调只有一个，我在sso.js的代码是这样的：
$.ajax('/login', {
type: 'POST',
data: 'username=' + userToken + '&password=' + new Date().getTime(),
headers: {
'x-csrf-token': config.csrf_token
},
success: function () {window.location.href = currentURL;});

但在后台，login后面请求的url会覆盖login产生的session，比如在下面的截图中，/src/client/chats/recent.js?v=c18e8ec4-2fb9-48f9-83b1-4b650f4d818a产生的没有passport的session覆盖了login产生的有passport的sessio。

仔细看了你的描述，你是不是在 onSuccessfulLogin 之前调用了 passport 的回调 done 函数了？

调用 onSuccessfulLogin 才真正在 nodebb 上登录了，然后调用 done, 然后才会收到 passport.js 的 URL callback.

@brucehuang

这个回调是放在哪里的？ 调用 passport 登录后得到 token 调用的回调？

如果是这样的话，你得在这个回调的 success 函数里再调用 passport.js 的 done 函数。

不能过早的调用 done.

我说的 done 函数就是在用 passport 后回传的 callback. 如下：

passport.use(new OAuth2Strategy({
    authorizationURL: 'https://www.example.com/oauth2/authorize',
    tokenURL: 'https://www.example.com/oauth2/token',
    clientID: EXAMPLE_CLIENT_ID,
    clientSecret: EXAMPLE_CLIENT_SECRET,
    callbackURL: "http://localhost:3000/auth/example/callback"    // 这是 callbackURL
  },
  function(accessToken, refreshToken, profile, cb) {        // cb 就是我说的 `done` 函数
    User.login({ exampleId: profile.id }, function (err, user) {
      return cb(err, user);               // 真正登录之后才能调用 cb.
    });
  }
));

版主你好。我用的是这种方式，https://github.com/contentblvd/nodebb-plugin-sso-session/blob/master/library.js
重写了continueLogin，逻辑写在request的回调中。
request('http://mydomain.com/users/' + userToken, function (err, response, body) {xxx})。

你不帖代码还是无法看出你的问题， 你看看 nodebb-plugin-sso-session 的逻辑：

plugin.continueLogin = function(req, username, password, next) {
...

注意那个 next 回调， 是在调用 moreLogin 之后才调用的：

plugin.moreLogin({
            CBid: profile.id,
            handle: profile.displayName,
            email: profile.email,
            isAdmin: profile.isAdmin,
            picture: profile.picture
          }, function(err, user) {
            if (err) {
              return next(err);
            }
            var duration = 1000*60*60*24*parseInt(meta.config.loginDays || 14, 10);
      			req.session.cookie.maxAge = duration;
      			req.session.cookie.expires = new Date(Date.now() + duration);
            next(null, user);

这时候 session 已经有效了， next 调用之后 callbackURL 才会被调用。

站长你好，代码如下：
(function (module) {
"use strict";

var passport = module.parent.require('passport'),
passportLocal = module.parent.require('passport-local').Strategy,
User = module.parent.require('./user'),
Groups = module.parent.require('./groups'),
meta = module.parent.require('./meta'),
db = module.parent.require('../src/database'),
fs = module.parent.require('fs'),
path = module.parent.require('path'),
nconf = module.parent.require('nconf'),
winston = module.parent.require('winston'),
async = module.parent.require('async'),
request = require('request'),
constants = Object.freeze({
		name: 'MyID'
	}),
plugin = {};

plugin.login = function () {
	winston.info('[login] Registering new local login strategy');
	passport.use(new passportLocal({
			passReqToCallback: true
		}, plugin.continueLogin));
};

plugin.continueLogin = function (req, username, password, next) {	
	var userToken = username;
	if (typeof(userToken) == 'undefined') {
		winston.info('cookie userToken undefined');
		return next(new Error('[[error:invalid-username-or-password]]'));
	}
	request('http://www.myDomain.cn/api/user/' + userToken,
		function (err, response, body) {
		if (err) {
			winston.error(err);
			return next(null, null);
		}

		if (response.statusCode === 200) 
		{
			if (body=='null' || typeof(body) == 'undefined')
			{
				return next(new Error('[[error:invalid-token1]]'));
			}
			var data = JSON.parse(body);
			var userinfo = {};
			userinfo.Id = data.Id;
			userinfo.username = data.NickName;
			userinfo.email = data.NickName + '@myDomain.cn';

			userinfo.picture = 'https://www.myDomain.cn/' + data.image;
			
			userinfo.isAdmin = data.isAdmin;
			
			plugin.moreLogin(userinfo,
				function (err, user) {
					if (err) 
					{
						return next(err);
					}
					next(null, user);
				});
		}
		else
		{
			next(new Error('[[error:internal-error]]'))
		}
	});
};

plugin.getUidByMyId = function (myid, callback) {
	db.getObjectField(constants.name + 'Id:uid', myid, function (err, uid) {
		if (err) {
			return callback(err);
		}
		callback(null, uid);
	});
};

plugin.moreLogin = function (userinfo, callback) {
	if (userinfo) 
	{
		plugin.getUidByMyId(userinfo.Id, function (err, uid) {
			if (err) 
			{
				return callback(err);
			}

			if (uid !== null) 
			{					
				// Existing User, update profile
				var data = 
				{
					uid: uid,
					username: userinfo.username,
					email: userinfo.email,
				};
				
				//update profile
				User.getUserField(uid, 'username', function (err, oldUserName){
					if (oldUserName != userinfo.username)
					{
						User.updateProfile(uid, data, function(err){
							if (err)
							{
								winston.info('uid:' + uid + ' updateprofile err=' + err);
								return callback(null, {uid: uid});
							}
							else
							{
								User.setUserField( uid, 'picture', userinfo.picture );
								if (userinfo.isAdmin == '1') 
								{
									Groups.join('administrators', uid, function (err){return callback(null, {uid: uid});});
								}
								else
								{
									callback(null, {uid: uid});
								}
							}
						});
					}
					else
					{
						callback(null, {uid: uid});
					}
				});
			}
			else 
			{
				var success = function (uid) {
					// Save provider-specific information to the user
					User.setUserField(uid, constants.name + 'Id', userinfo.Id);
					db.setObjectField(constants.name + 'Id:uid', userinfo.Id, uid);

					if (userinfo.picture) 
					{
						var picture = userinfo.picture;
						User.setUserField(uid, 'picture', picture);
					}

					if (userinfo.isAdmin == '1') 
					{
						Groups.join('administrators', uid, function (err) {
							winston.info('join administrators err ' + err + ' uid=' + uid);
							callback(null, {uid: uid});
						});
					} 
					else 
					{
						callback(null, {uid: uid});
					}
				};

				if (! uid) 
				{
					User.create(
					{
						username: userinfo.username,
						email: userinfo.email
					}, function (err, uid) {
						if (err) 
						{ 
							winston.info(err);
							return callback(err);
						}
						success(uid);
					});
				}
				else 
				{
					success(uid); // Existing account -- merge
				}
			}
		});
	}
	else 
	{
		winston.error('[missing UserInfo]');
		if (callback) {	callback(new Error('[[error:missing-UserInfo]]'));}
	}
};

module.exports = plugin;
}(module));

@brucehuang

首先， markdown 贴代码的格式还要学习一下哦 :laughing:

看你的逻辑好像没什么问题， 你可能要通过日志或断点（用 node-inspect） 跟踪一下在哪里回调中断了没有。

其次，原作好像在 moreLogin 之后有：

var duration = 1000*60*60*24*parseInt(meta.config.loginDays || 14, 10);
      			req.session.cookie.maxAge = duration;
      			req.session.cookie.expires = new Date(Date.now() + duration);
            next(null, user);

给 cookie 设置寿命的代码，你没写不知会不会有影响唉。你试试加上去？

设置了cookie寿命还是一样。

不过我倒是想到另一件事，是否是并发请求导致的？

在正常登录状态，不会有跟login并发的请求，后台也就不会有session互相覆盖的情况。
而通过sso.js注入的ajax login请求是跟页面中其他url请求一起到后台的，所以容易造成在后台竞争态导致互相覆盖（nodebb后台并没有按做条件更新而是直接全量覆盖）。

所以解决办法应该是在后台增加条件更新（如果有passport则不覆盖，只更新其他字段）或者在client端延迟发送login。

我增加setTimeout函数延迟发送ajax login请求，试验了几次观察后台日志貌似消除了竞争态，我再观察一下：）

这个插件本身的实现很让人糊涂，它压根就没调用 onSuccessfulLogin, 而是在 sso.js 里调用 login 的 restful 接口， 为什么呢？ 插件的目的是干什么？

应该可以在 continueLogin 里调用 onSuccessfulLogin 登录呀？

根据我打日志，其实还是走了onSuccessfulLogin 的，会从自定义的continueLogin 跳回到 authenticationController.continueLogin去。

他的流程是这样的，有点绕。
ajax login -> authenticationController.login -> authenticationController.continueLogin -> 自定义的continueLogin -> 回到authenticationController.continueLogin -> authenticationController.doLogin -> authenticationController.onSuccessfulLogin

@brucehuang

终于搞懂了这个插件是干什么的，原来是在别的系统里登录了，用 token 来登录 Nodebb， 也就是单点登录，

sso.js 发送登录请求， library.js 中的 login 使用 passport.js 的 localStrategy 登录，你的流程貌似对的，没啥逻辑问题呀。

所以解决办法应该是在后台增加条件更新（如果有passport则不覆盖，只更新其他字段）或者在client端延迟发送login。
我增加setTimeout函数延迟发送ajax login请求，试验了几次观察后台日志貌似消除了竞争态，我再观察一下：）

没看懂，代码是怎样的？ 发过来给我解解惑~

@brucehuang

这个插件将 access_token 放在 URL 里，可以实现任意域名的单点登录，不错。
还有一个插件叫： nodebb-plugin-session-sharing, 将 token 放在 cookie 里，只能实现同一个根域名下的单点登录，如果你的服务器都在同一个根域名下的话， 你可以试试它。 它是 NodeBB 的官方作者建的，应该值得参考。

@brucehuang

我看了 nodebb-plugin-session-sharing 的源码，它在 express 的 middleware 里就处理了登录的逻辑，根本就不用在前端处理，自然就不会发生同时有登录和未登录的请求这种事情，不存在时序问题， 它的实现应该于你有参考意义。

我用了很山寨的方法，延迟发送login。setTimeout(function(){$.ajax('/login', {...})}), 2000)。
谢谢你的提醒，我去看看nodebb-plugin-session-sharing 这个插件:blush:

请问下楼主你的nodeBB版本是哪个

@river 请问 nodebb-plugin-session-sharing 使用方法是否是，在用户进入首页时进行token AJAX请求，然后将token存入Cookies,完成自动登陆注册了，是这样的流程吗？