Add security layer.

2020-09-26 12:41:12 +02:00
parent 5e6da61ccb
commit fae622aafc
8 changed files with 159 additions and 1 deletions
--- a/README.md
+++ b/README.md
@@ -0,0 +1,80 @@
+# Présentation
+Ce projet sert de socle technique facilitant le développement de "back-end" d'applications en NodeJS, communiquant avec une base MongoDB.
+
+## Base de données
+Il s'agit d'une base MongoDB.
+
+On peut simplement créer/démarrer la base en utilisant le fichier `docker-compose.yml` :
+
+```bash
+$ cd <PROJECT_PATH>/docker
+$ docker-compose up -d
+```
+
+Par défaut, la base utilise le port `27017`.
+
+# Application Back-end
+## Notions théoriques
+### Route
+Une route correspond à l'URI associée à un service exposé.
+
+Typiquement, une route est composée d'un chemin, par exemple `/users`, et d'un verbe http, par exemple `POST`.
+
+### Controleurs
+Un controlleur est un composant qui expose des services via la déclaration de routes.
+
+## Controlleurs
+### Création
+Pour créer un controlleur, il suffit de copier-coller le fichier `src/js/controller/templateCtrl.js` et de renommer la copie, de préférence, de cette façon `<entity>Ctrl.js`.
+
+Par exemple, si on veut exposer un service sur des entités représentant des voitures, on appelerait ce controlleur `carCtrl.js`.
+
+### Déclaration
+Une fois le controlleur créé, les routes qu'il contient ne sont pas effectives. En effet, le controlleur est créé mais n'est pas lié à l'application `Express`.
+
+Pour que notre nouveau controlleur soit utilisée par notre application, il va falloir le déclarer en modifiant le fichier `src/js/app.js`.
+
+Dans un premier temps, il va falloir importer notre controlleur, en utilisant l'instruction suivante, mais de préférence en haut du fichier `src/js/app.js` :
+
+```javascript
+const carController = require('./controller/carCtrl');
+```
+
+Puis, dans un second temps, il va falloir déclarer le controlleur dans l'application `Express`, en utilisant la méthode `use` comme ce qui suit :
+
+```javascript
+app.use('/cars', carController);
+```
+
+Voilà, votre controlleur est effectif, les services qu'il expose sont désormais accéssibles.
+
+# Communication avec la base de données
+## Notions théoriques
+MongoDB est un gestionnaire de base de données `NoSQL`, et orienté `Document`s.
+
+Un document est la représentation `JSON` d'entités.
+
+Les documents sont stockés dans des `collections`, ce sont des sortes de "dépôts".
+Par convention, on stocke les mêmes types d'entités dans une seule et même collection.
+
+Imaginons que notre application permette de gérer des voitures et des clients, alors on créera deux collections dans notre base de données : `cars` et `customers`.
+
+Si notre application doit gérer plusieurs types de véhicules, des voitures essences, diesel, électriques, hybrides etc., alors on doit se demander si toutes ces entités doivent être stockées dans la même collection `cars`, ou si c'est plus pertinent d'en créer d'autres.
+
+Si la différence entre les différentes catégories de véhicules n'est pas très grande et peu importante dans la logique métier de l'application, alors il vaut mieux stocker toutes les voitures dans la même collection.
+
+## Manipulation d'une collection
+Il existe une classe permettant de créer/modifier/supprimer/récupérer des entités dans la base Mongo.
+
+Il s'agit de la classe `Repository`, définie dans le fichier `src/js/repository/repository.js`.
+
+Si on veut exposer des services pour manipuler des voitures, qui sont stockées dans la collection `cars`, il suffit alors de créer un objet `Repository`, en passant en paramètre du constructeur de cette classe, le nom de la collection :
+
+```javascript
+// En haut du fichier :
+const Repository = require('../repository/repository');
+...
+const carRepository = new Repository('cars');
+```
+
+Ensuite, il suffira d'utiliser les méthodes suivantes en fonction de l'implémentation souaitée des services qu'on veut exposer : `find`, `insert`, `update` et `delete`.
--- a/package.json
+++ b/package.json
@@ -11,7 +11,9 @@
  "author": "",
  "license": "ISC",
  "dependencies": {
+    "bcrypt": "^5.0.0",
    "express": "^4.17.1",
+    "jsonwebtoken": "^8.5.1",
    "mongodb": "^3.6.1"
  },
  "devDependencies": {
--- a/src/js/app.js
+++ b/src/js/app.js
@@ -1,6 +1,7 @@
 const express = require('express');
 const bodyParser = require('body-parser');
 const applicationController = require('./controller/applicationCtrl');
+const userController = require('./controller/userCtrl');

 const port = 3000;

@@ -9,5 +10,6 @@ app.use(bodyParser.urlencoded({ extended: true }));
 app.use(bodyParser.json());

 app.use('/apps', applicationController);
+app.use('/users', userController);

 app.listen(port, () => console.log('Mock is listening at port ', port, '\n'));
--- a/src/js/controller/userCtrl.js
+++ b/src/js/controller/userCtrl.js
@@ -0,0 +1,21 @@
+const router = require('express').Router();
+const Jwt = require('../jwtService');
+const userService = require('../service/userService');
+const passwordService = require('../service/passwordService');
+
+// Develop routes here
+router.post('/login', (request, response) => {
+    const loginRequest = request.body;
+
+    // If login is incorrect, the "getUser" function will return "undefined".
+    // So if "user" is not "undefined", this proofs that login is correct.
+    const user = userService.getUser(loginRequest.login);
+    if (!!loginRequest && !!user && passwordService.areSamePasswords(loginRequest.password, user.password)) {
+        const tokenPayload = { login: loginRequest.login };
+        response.json(Jwt.buildToken(tokenPayload));
+    } else {
+        response.status(403).send();
+    }
+});
+
+module.exports = router;
--- a/src/js/jwtService.js
+++ b/src/js/jwtService.js
@@ -0,0 +1,19 @@
+const jwt = require('jsonwebtoken');
+
+class Jwt {
+    buildToken(tokenPayload) {
+        return jwt.sign(tokenPayload, 'secret', {expiresIn: '1h'});
+    }
+
+    isTokenValid(token) {
+        try {
+            jwt.verify(token, 'secret');
+        } catch (exception) {
+            return false;
+        }
+        return true;
+    }
+}
+
+const jwtInstance = new Jwt();
+module.exports = jwtInstance;
--- a/src/js/repository/mongoClient.js
+++ b/src/js/repository/mongoClient.js
@@ -5,7 +5,6 @@ const mongoConfig = configuration.database;
 class MongoClient {
    constructor() {
        mongodb.MongoClient.connect(mongoConfig.url, (error, client) => {
-            console.log(error);
            if (error !== null) {
                throw new Error(`Unable de connect to Mongo database: ${error}`);
            }
--- a/src/js/service/passwordService.js
+++ b/src/js/service/passwordService.js
@@ -0,0 +1,16 @@
+const bcrypt = require('bcrypt');
+const saltRounds = 10;
+
+class PasswordService {
+    hashPassword(password) {
+        const salt = bcrypt.genSaltSync(saltRounds);
+        return bcrypt.hashSync(password, salt);
+    }
+
+    areSamePasswords(plainTextPassword, hashedPassword) {
+        return bcrypt.compareSync(plainTextPassword, hashedPassword);
+    }
+}
+
+const singleton = new PasswordService();
+module.exports = singleton;
--- a/src/js/service/userService.js
+++ b/src/js/service/userService.js
@@ -0,0 +1,19 @@
+const Repository = require('../repository/repository');
+const passwordService = require('./passwordService');
+
+const userRepository = new Repository('users');
+
+class UserService {
+    getUser(login) {
+        return login === 'toto' 
+            ? {login: 'toto', password: passwordService.hashPassword('pwd')}
+            : undefined;
+    }
+
+    isAuthenticated() {
+        return false;
+    }
+}
+
+const singleton = new UserService();
+module.exports = singleton;