leancloud用戶系統

從第一次用leancloud到現在也有一年的時間了，用的比較多的還是存儲的功能。後來公司項目需要用戶系統，才發現leancloud的用戶和角色系統真心很強大。而最近正好在重構現有項目的用戶系統部分，加入第三方登錄，發現網上能夠查到的信息並不多，而且技術文檔和社區往往面臨的一個很難解決的問題，就是幾個月前的回答或者文檔無法滿足對現有API的使用。比如搜索到的很多回答都是關於舊版session方案的，而AV.Cloud.CookieSession的相關說明並不是很好找。

關於SDK

對於nodejs開發者來說，可能會發現leancloud有兩個給js使用的sdknleanengine-node-sdk和javascript-sdk

前者的npm包名是leanengine，後者包名叫做avoscloud-sdk（已經更名為leancloud-storage）。

看一下leanengine的package.json可以發現

nnnleanengine是依賴avoscloud-sdk的，leanengine除了能夠使用avoscloud-sdk的全部功能以外，還有額外拓展的供nodejs使用的方法。

n所以結論就是，如果是一個純前端的項目，就引入avoscloud-sdk，而如果使用在nodejs伺服器的話，則引入leanengine。之前有一個項目在（我猜是因為）前端使用了leanengine，會使chrome產生websocket連接的問題，而導致瀏覽器卡死。

用戶

n在leancloud新建的項目，會有6個默認的Class，這篇文章會說到其中的_User

nn_User表的欄位如下

n其中username和password是必填欄位，而且username是一個要求唯一的欄位。email和mobilePhoneNumber則是選填欄位。

nauthData用來保存第三方登錄信息，也是本文後面重點要說的部分。

nemailVerified和mobilePhoneVerified是布爾型，用來標註郵箱和手機是否驗證。順便一提，郵箱驗證和手機驗證服務已經集成在leancloud內了，不需要使用額外的郵件或簡訊服務商，而且驗證後直接更新資料庫，完全沒有開發的成本。

sessionToken欄位是記錄用戶會話的，在avoscloud-sdk 0.5.1版本中，加入了AV.User.become方法，可以使用sessionToken直接登錄。

註冊 AV.User.signUp()

LeanCloud 文檔

標註的註冊方法需要用戶名和密碼，其他信息可以隨註冊信息一起提供，或者在signUp的回調中再次更新。

登錄 AV.User.logIn()

LeanCloud 文檔

leancloud的標準登錄方法除了支持username和password登錄，同時支持email和password登錄。這也就是說，郵箱登陸的功能也不需要額外開發了，可以直接在登錄框位置註明：「用戶名/郵箱」 然後無論用戶輸入的是username還是email，都可以用logIn方法登入。

如果要使用手機登錄，則要調用AV.User.logInWithMobilePhone()方法，另一種手機登錄方式是通過手機號和驗證簡訊直接登入的AV.User.requestSmsCode()，如果使用這個方法註冊的話，新用戶的username默認為手機號碼。

綁定第三方

LeanCloud 文檔

AV.User._logInWith()方法提供了第三方綁定的方法。這個方法會創建一個新的用戶，username為隨機串。

綁定微博的代碼是：

AV.User._logInWith(weibo, {n authData: {n uid: 123456789,n access_token: 2.00vs3XtCI5FevCff4981adb5jj1lXE,n expiration_in: 36000n }n}).then(function(user) {n //返回綁定後的用戶n console.log(user);n}, function(error) {n console.log(error);n});n

綁定github可以用：

AV.User._logInWith(github,{n "authData":{n uid: uid,n access_token: access_tokenn }n}).then(function(user) {n console.log(user)n}, function(error) {n console.log(error);n});n

其中微博，微信和QQ，leancloud會在登錄時驗證access_token的可靠性，其他第三方平台要自行通過平台的方法去驗證。

如果已經有一個leancloud賬號，想要綁定第三方，可以使用_linkWith方法

var user = ...已存在的處於登錄狀態的 AV.User 對象 ...nuser._linkWith(weibo, {n authData: {n uid: 123456789,n access_token: 2.00vs3XtCI5FevCff4981adb5jj1lXE,n expiration_in: 36000n }n}).then(function(user) {n //返回綁定後的用戶n console.log(user);n}, function(error) {n console.log(error);n});n

這裡leancloud不會驗證這個第三方賬號是不是已經被其他用戶綁定，如果同一個微博賬號多次綁定用戶，代碼執行的時候不會報錯，在登錄的時候，會登入最後一個綁定的賬號。

當前用戶

通過AV.User.current()方法可以得到當前登錄的用戶。這裡面就要說一下前端登錄和後端登錄的關係。

後端登錄和前端是分開的，比如做第三方登錄的時候，第三方都需要一個回調地址，那麼我們可以在這個回調的路由中處理accesstoken的驗證，然後（也必須）在後端完成登錄。這個部分不能做在前端，因為驗證accesstoken需要第三方的appid和secretid，secretid是不能夠暴露在前端的。

那麼在後端調用了比如AV.User._logInWith()方法完成登錄之後，同樣可以用AV.User.current()取到用戶信息。

leancloud提供了session和cookie管理的中間件

app.use(AV.Cloud.CookieSession({ secret: xitusecretxxxx, maxAge: 3600000, fetchUser: false }));

引入這個中間件之後，當後台登錄，前端請求的頁面都會帶有一個cookie（截圖是未登錄狀態）

cookie的默認名是avos:sess

注意這個cookie是而且只能是httpOnly的。

當頁面發出HTTP請求到路由（以express代碼為例）

function adminIsLoggedIn(req, res, next) {n var user = req.AV.user;n if(!user) return res.redirect(/);n var query = new AV.Query(AV.Role); n query.equalTo(users, user); n query.equalTo(name, "admin"); n query.count().then(function(count){ n if(count) {n return next();n }n else{n return res.redirect(/);n }n }, n function(error) { n return res.redirect(/);n });n}nnapp.get(/admin, adminIsLoggedIn, admin.home);n

req.AV.user能夠得到當前session中的user對象，從而進行身份驗證。leancloud官方不建議在這裡使用AV.User.Current()，因為這個函數使用了Domain。另外要注意的是，如果僅僅使用了前端登錄，那麼雖然在前端可以AV.User.Current()拿到user，但是req.AV.user依然是空的。

前端登錄就比較簡單了，同樣調用登錄函數，leancloud會把個人信息放在localstorage裡面

然後前端調用AV.User.current()就可以取到當前的的用戶信息。

一般的應用應該使用後端登錄的方式，而如果是微信移動端或者是SPA的應用，可以考慮前端登錄方式。

OAuth2

既然前面說到了第三方登錄，順便說說OAuth2。

一個比較通用的OAuth2過程如上圖所示，不同平台的參數個數和參數名可能略有不同，就把幾個重要的參數拿出來說明一下。

首先是請求授權頁面，需要第三方平台的appid，回調地址要提前在第三方註冊，scope是請求的許可權，state是可以在授權成功之後返回的參數。

授權成功之後，返回授權頁面，可以通過傳入的state來決定不同的方式，比如多個平台共用一個回調地址的時候，可以通過state參數來判斷code所屬平台，然後調用對應平台的驗證API。

通過code換取access_token這一步必須要在後台完成，因為涉及到使用appsecret，不能暴露在前端。

得到access_token之後，就可以為所欲為的拿用戶各種數據啦。

推薦閱讀：