From fae622aafc13340dc980dacaf9ef6618e924f181 Mon Sep 17 00:00:00 2001
From: takiguchi <florian.thierry72@gmail.com>
Date: Sat, 26 Sep 2020 12:41:12 +0200
Subject: [PATCH] Add security layer.

---
 README.md                         | 80 +++++++++++++++++++++++++++++++
 package.json                      |  2 +
 src/js/app.js                     |  2 +
 src/js/controller/userCtrl.js     | 21 ++++++++
 src/js/jwtService.js              | 19 ++++++++
 src/js/repository/mongoClient.js  |  1 -
 src/js/service/passwordService.js | 16 +++++++
 src/js/service/userService.js     | 19 ++++++++
 8 files changed, 159 insertions(+), 1 deletion(-)
 create mode 100644 README.md
 create mode 100644 src/js/controller/userCtrl.js
 create mode 100644 src/js/jwtService.js
 create mode 100644 src/js/service/passwordService.js
 create mode 100644 src/js/service/userService.js

diff --git a/README.md b/README.md
new file mode 100644
index 0000000..f9d350d
--- /dev/null
+++ b/README.md
@@ -0,0 +1,80 @@
+# Présentation
+Ce projet sert de socle technique facilitant le développement de "back-end" d'applications en NodeJS, communiquant avec une base MongoDB.
+
+## Base de données
+Il s'agit d'une base MongoDB.
+
+On peut simplement créer/démarrer la base en utilisant le fichier `docker-compose.yml` :
+
+```bash
+$ cd <PROJECT_PATH>/docker
+$ docker-compose up -d
+```
+
+Par défaut, la base utilise le port `27017`.
+
+# Application Back-end
+## Notions théoriques
+### Route
+Une route correspond à l'URI associée à un service exposé.
+
+Typiquement, une route est composée d'un chemin, par exemple `/users`, et d'un verbe http, par exemple `POST`.
+
+### Controleurs
+Un controlleur est un composant qui expose des services via la déclaration de routes.
+
+## Controlleurs
+### Création
+Pour créer un controlleur, il suffit de copier-coller le fichier `src/js/controller/templateCtrl.js` et de renommer la copie, de préférence, de cette façon `<entity>Ctrl.js`.
+
+Par exemple, si on veut exposer un service sur des entités représentant des voitures, on appelerait ce controlleur `carCtrl.js`.
+
+### Déclaration
+Une fois le controlleur créé, les routes qu'il contient ne sont pas effectives. En effet, le controlleur est créé mais n'est pas lié à l'application `Express`.
+
+Pour que notre nouveau controlleur soit utilisée par notre application, il va falloir le déclarer en modifiant le fichier `src/js/app.js`.
+
+Dans un premier temps, il va falloir importer notre controlleur, en utilisant l'instruction suivante, mais de préférence en haut du fichier `src/js/app.js` :
+
+```javascript
+const carController = require('./controller/carCtrl');
+```
+
+Puis, dans un second temps, il va falloir déclarer le controlleur dans l'application `Express`, en utilisant la méthode `use` comme ce qui suit :
+
+```javascript
+app.use('/cars', carController);
+```
+
+Voilà, votre controlleur est effectif, les services qu'il expose sont désormais accéssibles.
+
+# Communication avec la base de données
+## Notions théoriques
+MongoDB est un gestionnaire de base de données `NoSQL`, et orienté `Document`s.
+
+Un document est la représentation `JSON` d'entités.
+
+Les documents sont stockés dans des `collections`, ce sont des sortes de "dépôts".
+Par convention, on stocke les mêmes types d'entités dans une seule et même collection.
+
+Imaginons que notre application permette de gérer des voitures et des clients, alors on créera deux collections dans notre base de données : `cars` et `customers`.
+
+Si notre application doit gérer plusieurs types de véhicules, des voitures essences, diesel, électriques, hybrides etc., alors on doit se demander si toutes ces entités doivent être stockées dans la même collection `cars`, ou si c'est plus pertinent d'en créer d'autres.
+
+Si la différence entre les différentes catégories de véhicules n'est pas très grande et peu importante dans la logique métier de l'application, alors il vaut mieux stocker toutes les voitures dans la même collection.
+
+## Manipulation d'une collection
+Il existe une classe permettant de créer/modifier/supprimer/récupérer des entités dans la base Mongo.
+
+Il s'agit de la classe `Repository`, définie dans le fichier `src/js/repository/repository.js`.
+
+Si on veut exposer des services pour manipuler des voitures, qui sont stockées dans la collection `cars`, il suffit alors de créer un objet `Repository`, en passant en paramètre du constructeur de cette classe, le nom de la collection :
+
+```javascript
+// En haut du fichier :
+const Repository = require('../repository/repository');
+...
+const carRepository = new Repository('cars');
+```
+
+Ensuite, il suffira d'utiliser les méthodes suivantes en fonction de l'implémentation souaitée des services qu'on veut exposer : `find`, `insert`, `update` et `delete`.
\ No newline at end of file
diff --git a/package.json b/package.json
index 320b743..a17c4da 100644
--- a/package.json
+++ b/package.json
@@ -11,7 +11,9 @@
   "author": "",
   "license": "ISC",
   "dependencies": {
+    "bcrypt": "^5.0.0",
     "express": "^4.17.1",
+    "jsonwebtoken": "^8.5.1",
     "mongodb": "^3.6.1"
   },
   "devDependencies": {
diff --git a/src/js/app.js b/src/js/app.js
index ac90af5..c6e4d18 100644
--- a/src/js/app.js
+++ b/src/js/app.js
@@ -1,6 +1,7 @@
 const express = require('express');
 const bodyParser = require('body-parser');
 const applicationController = require('./controller/applicationCtrl');
+const userController = require('./controller/userCtrl');
 
 const port = 3000;
 
@@ -9,5 +10,6 @@ app.use(bodyParser.urlencoded({ extended: true }));
 app.use(bodyParser.json());
 
 app.use('/apps', applicationController);
+app.use('/users', userController);
 
 app.listen(port, () => console.log('Mock is listening at port ', port, '\n'));
\ No newline at end of file
diff --git a/src/js/controller/userCtrl.js b/src/js/controller/userCtrl.js
new file mode 100644
index 0000000..6faee65
--- /dev/null
+++ b/src/js/controller/userCtrl.js
@@ -0,0 +1,21 @@
+const router = require('express').Router();
+const Jwt = require('../jwtService');
+const userService = require('../service/userService');
+const passwordService = require('../service/passwordService');
+
+// Develop routes here
+router.post('/login', (request, response) => {
+    const loginRequest = request.body;
+
+    // If login is incorrect, the "getUser" function will return "undefined".
+    // So if "user" is not "undefined", this proofs that login is correct.
+    const user = userService.getUser(loginRequest.login);
+    if (!!loginRequest && !!user && passwordService.areSamePasswords(loginRequest.password, user.password)) {
+        const tokenPayload = { login: loginRequest.login };
+        response.json(Jwt.buildToken(tokenPayload));
+    } else {
+        response.status(403).send();
+    }
+});
+
+module.exports = router;
\ No newline at end of file
diff --git a/src/js/jwtService.js b/src/js/jwtService.js
new file mode 100644
index 0000000..5918988
--- /dev/null
+++ b/src/js/jwtService.js
@@ -0,0 +1,19 @@
+const jwt = require('jsonwebtoken');
+
+class Jwt {
+    buildToken(tokenPayload) {
+        return jwt.sign(tokenPayload, 'secret', {expiresIn: '1h'});
+    }
+
+    isTokenValid(token) {
+        try {
+            jwt.verify(token, 'secret');
+        } catch (exception) {
+            return false;
+        }
+        return true;
+    }
+}
+
+const jwtInstance = new Jwt();
+module.exports = jwtInstance;
\ No newline at end of file
diff --git a/src/js/repository/mongoClient.js b/src/js/repository/mongoClient.js
index dddbb54..4ecf49d 100644
--- a/src/js/repository/mongoClient.js
+++ b/src/js/repository/mongoClient.js
@@ -5,7 +5,6 @@ const mongoConfig = configuration.database;
 class MongoClient {
     constructor() {
         mongodb.MongoClient.connect(mongoConfig.url, (error, client) => {
-            console.log(error);
             if (error !== null) {
                 throw new Error(`Unable de connect to Mongo database: ${error}`);
             }
diff --git a/src/js/service/passwordService.js b/src/js/service/passwordService.js
new file mode 100644
index 0000000..397c8ed
--- /dev/null
+++ b/src/js/service/passwordService.js
@@ -0,0 +1,16 @@
+const bcrypt = require('bcrypt');
+const saltRounds = 10;
+
+class PasswordService {
+    hashPassword(password) {
+        const salt = bcrypt.genSaltSync(saltRounds);
+        return bcrypt.hashSync(password, salt);
+    }
+
+    areSamePasswords(plainTextPassword, hashedPassword) {
+        return bcrypt.compareSync(plainTextPassword, hashedPassword);
+    }
+}
+
+const singleton = new PasswordService();
+module.exports = singleton;
\ No newline at end of file
diff --git a/src/js/service/userService.js b/src/js/service/userService.js
new file mode 100644
index 0000000..ed8b507
--- /dev/null
+++ b/src/js/service/userService.js
@@ -0,0 +1,19 @@
+const Repository = require('../repository/repository');
+const passwordService = require('./passwordService');
+
+const userRepository = new Repository('users');
+
+class UserService {
+    getUser(login) {
+        return login === 'toto' 
+            ? {login: 'toto', password: passwordService.hashPassword('pwd')}
+            : undefined;
+    }
+
+    isAuthenticated() {
+        return false;
+    }
+}
+
+const singleton = new UserService();
+module.exports = singleton;
\ No newline at end of file