Vapor文档学习廿三：AUTH - User

authentication（验证）和authorization（授权）都是针对Auth.User协议。验证是获知“他是谁”，授权是告诉“他能做什么”。Vapor拥有一套可扩展的身份验证系统，并且你可以将其作为复杂的授权的基础。

github上的验证demo

User Protocol

任何类型都可以遵守Auth.User协议，但是一般都是用在Fluent Model上。

import Vapor
import Auth

final class User: Model {
    var id: Node?
    var name: String

    ...
}

extension User: Auth.User {
    static func authenticate(credentials: Credentials) throws -> Auth.User {

    }

    static func register(credentials: Credentials) throws -> Auth.User {

    }
}

上面是一个遵守Author.User协议的User类。注意我们的User类和协议的User同名，所以我们使用Author作为前缀将其区分开。

Authenticate

当一组凭据传递给静态authenticate方法时，如果返回了匹配的用户，则通过验证。

Credentials

protocol Credentials { }

Credentials协议是任何类型可以遵守的空协议。 这为您的身份验证model提供了极大的灵活性，但也要求您正确处理不支持的凭据类型。

Access Token

AccessToken是最简单的凭据类型之一，它包括一个Stringtoken，用于用户验证。
下面是如何支持访问Token类型：

static func authenticate(credentials: Credentials) throws -> Auth.User {
    switch credentials {
    case let accessToken as AccessToken:
        guard let user = try User.query().filter("access_token", accessToken.string).first() else {
            throw Abort.custom(status: .forbidden, message: "Invalid access token.")    
        }
        return user
    default:
        let type = type(of: credentials)
        throw Abort.custom(status: .forbidden, message: "Unsupported credential type: \(type).")
    }
}

第一步是将凭证（credentials）类型转为我们支持的凭证类型，上面是转为了AccessToken。如果access token不存在，则通知客户端凭证无效。

一旦我们获取了用户凭证（access token），就可以用它开查询与之匹配的用户（user model）。当然这是在表或者collection中存储了access token字段。你也可以在其他地方存储access token。

一旦我们找到与access token匹配的用户，只需返回它。

Identifier

Vapor内部使用Identifier凭据类型来查找用户。这部分可以Request部分学习。

Register

register方法与authenticate方法类似，都是使用凭证，不过register方法不是存数据存储中提取user，而是一个创建用户的便捷方式。你不需要必须通过此方法注册用户。

Example

下面是一个支持多种凭据类型的示例：

extension User: Auth.User {
    static func authenticate(credentials: Credentials) throws -> Auth.User {
        let user: User?

        switch credentials {
        case let id as Identifier:
            user = try User.find(id.id)
        case let accessToken as AccessToken:
            user = try User.query().filter("access_token", accessToken.string).first()
        case let apiKey as APIKey:
            user = try User.query().filter("email", apiKey.id).filter("password", apiKey.secret).first()
        default:
            throw Abort.custom(status: .badRequest, message: "Invalid credentials.")
        }

        guard let u = user else {
            throw Abort.custom(status: .badRequest, message: "User not found.")
        }

        return u
    }

    static func register(credentials: Credentials) throws -> Auth.User {
        ...
    }
}

Note：尽量不要存储密码，如果你必须这样做，一定要进行哈希化或者加密。