下面是一个使用时间戳令牌的新身份验证库。令牌可以通过电子邮件或短信发送给用户，而不需要将它们存储在数据库中。它可以用于无密码身份验证或双因素身份验证。

https://github.com/vote539/easy-no-password

披露:我是这个库的开发者。

有一个项目叫Drywall，实现了一个用户登录系统与护照，也有一个用户管理管理面板。如果你正在寻找一个功能齐全的用户认证和管理系统，类似于Django提供的Node.js，这就是它。我发现，对于构建一个需要用户身份验证和管理系统的节点应用程序来说，这是一个非常好的起点。有关护照如何工作的信息，请参阅Jared Hanson的回答。

slim-auth

轻量级、零配置的用户认证模块。它不需要单独的数据库。

https://www.npmjs.com/package/slimauth

很简单:

app.get('/private-page', (req, res) => {

    if (req.user.isAuthorized) {
        // user is logged in! send the requested page
        // you can access req.user.email
    }
    else {
        // user not logged in. redirect to login page
    }
})

如果您需要使用Microsoft Windows用户帐户进行SSO(单点登录)身份验证。你可以试试https://github.com/jlguenego/node-expose-sspi。

它会给你一个要求。Sso对象，其中包含所有客户端用户信息(登录名、显示名、sid、组)。

const express = require("express");
const { sso, sspi } = require("node-expose-sspi");

sso.config.debug = false;

const app = express();

app.use(sso.auth());

app.use((req, res, next) => {
  res.json({
    sso: req.sso
  });
});

app.listen(3000, () => console.log("Server started on port 3000"));

声明:我是node-expose-sspi的作者。

关于手摇方法，要注意一点:

我很失望地看到，本文中建议的一些代码示例并不能防止会话固定或定时攻击等基本身份验证漏洞。

与这里的一些建议相反，身份验证并不简单，处理解决方案也不总是简单的。我推荐passsportjs和bcrypt。

但是，如果你决定着手解决问题，可以看看express js提供的例子，以获得灵感。

祝你好运。

对身份验证的另一种理解是passdless，这是express的一个基于令牌的身份验证模块，它绕过了密码[1]的固有问题。它实现起来很快，不需要太多表单，并且为普通用户提供了更好的安全性(完全披露:我是作者)。

[1]:密码过时