下面是两个流行的用于node js身份验证的Github库:

https://github.com/jaredhanson/passport(易受暗示)

https://nodejsmodules.org/pkg/everyauth

看起来连接中间件的连接认证插件正是我所需要的

我使用的是express [http://expressjs.com]，所以连接插件非常适合，因为express是连接的子类(好吧-原型)

如果你想要第三方/社交网络登录集成，也要看看每个auth。

如果您正在寻找Connect或Express的身份验证框架，Passport值得一试:https://github.com/jaredhanson/passport

(游戏邦注:我是Passport的开发者)

在研究了connect-auth和everyauth之后，我开发了Passport。虽然它们都是很棒的模块，但并不适合我的需求。我想要更轻便、不显眼的东西。

Passport被分解为单独的模块，因此您可以选择只使用您需要的模块(OAuth，仅在必要时使用)。Passport也不会在应用程序中挂载任何路由，这使您可以灵活地决定何时何地需要身份验证，并且钩子可以控制身份验证成功或失败时发生的情况。

例如，下面是设置基于表单(用户名和密码)的身份验证的两步过程:

passport.use(new LocalStrategy(
  function(username, password, done) {
    // Find the user from your DB (MongoDB, CouchDB, other...)
    User.findOne({ username: username, password: password }, function (err, user) {
      done(err, user);
    });
  }
));

app.post('/login', 
  passport.authenticate('local', { failureRedirect: '/login' }),
  function(req, res) {
    // Authentication successful. Redirect home.
    res.redirect('/');
  });

通过Facebook、Twitter等进行身份验证还可以使用其他策略。如果需要，可以插入自定义策略。

下面是一个使用时间戳令牌的新身份验证库。令牌可以通过电子邮件或短信发送给用户，而不需要将它们存储在数据库中。它可以用于无密码身份验证或双因素身份验证。

https://github.com/vote539/easy-no-password

披露:我是这个库的开发者。

我基本上也在找同样的东西。具体来说，我想要的是:

使用express.js，它包装了Connect的中间件功能 “基于表单的”身份验证 对哪些路由进行验证的粒度控制 用户/密码的数据库后端 使用会话

我最终所做的是创建自己的中间件函数check_auth，我将其作为参数传递给我想要验证的每个路由。Check_auth仅检查会话，如果用户没有登录，则重定向到登录页面，如下所示:

function check_auth(req, res, next) {

  //  if the user isn't logged in, redirect them to a login page
  if(!req.session.login) {
    res.redirect("/login");
    return; // the buck stops here... we do not call next(), because
            // we don't want to proceed; instead we want to show a login page
  }

  //  the user is logged in, so call next()
  next();
}

然后，对于每个路由，我确保该函数作为中间件传递。例如:

app.get('/tasks', check_auth, function(req, res) {
    // snip
});

最后，我们需要实际处理登录过程。这很简单:

app.get('/login', function(req, res) {
  res.render("login", {layout:false});
});

app.post('/login', function(req, res) {

  // here, I'm using mongoose.js to search for the user in mongodb
  var user_query = UserModel.findOne({email:req.body.email}, function(err, user){
    if(err) {
      res.render("login", {layout:false, locals:{ error:err } });
      return;
    }

    if(!user || user.password != req.body.password) {
      res.render("login",
        {layout:false,
          locals:{ error:"Invalid login!", email:req.body.email }
        }
      );
    } else {
      // successful login; store the session info
      req.session.login = req.body.email;
      res.redirect("/");
    }
  });
});

无论如何，这种方法主要被设计为灵活和简单。我相信有很多方法可以改善它。如果你有任何建议，我非常希望得到你的反馈。

编辑:这是一个简化的例子。在生产系统中，您绝对不希望以纯文本的形式存储和比较密码。正如一位评论者指出的那样，有一些库可以帮助管理密码安全。