Inloggningssekvens med databas

Basuppgift

Översikt

I den här labben ska du skapa en webbserver med Node.js samt en simpel webbsida, där nya användare kan registrera sig för att skapa ett konto samt registrerade användare kan logga in på sina egna konton. Webbsidan ska bestå av en inloggnings-/registreringssida samt en profilsida för lyckade inloggningar. Ni kommer att förses med simpla kopior av båda dessa sidor som en del av labbskelettet.
I följande sida finns en demo på basuppgiften skrivet i PHP men programmet fungerar exakt som det förväntas av er fast i Nodejs och inte PHP.

Illustrera applikationens beteende när det gäller "gardering of endpoints" genom att klicka på följande länkar till end-points:

• När du INTE ÄR INLOGGAD:
  • Profilsidan: https://course-dd1386.eecs.kth.se/~vahid/intnetLabbar/lab3/profile.php
• När du ÄR INLOGGAD:
  • Inloggnings sidan: https://course-dd1386.eecs.kth.se/~vahid/intnetLabbar/lab3/index.php
  • Registrerings sidan: https://course-dd1386.eecs.kth.se/~vahid/intnetLabbar/lab3/registration.php

Labbskelett

Labbskelettet består bland annat av dessa filer:

• README.md Den här filen förväntas ni läsa då den innehåller information om hur du får skelettet att köra.
• package.json Den här filen berättar för npm att mappen innehåller ett javascript project, vilka beroenden projektet har, samt hur projektet startas.
• src/base/index.js Den här filen är webbserverns ingångspunkt och kommer att vara den fil som körs först.
• public/ Den här mappen innehåller de statiska filer som kommer att serveras av server.js.

Specifika krav

1. Filer (/public mappen)
   1. Ni skall använda filerna i public mappen för login samt profilsidorna.
   2. Filerna i public får INTE ändras.
2.  Lintning.
   1. Ni skall använda de medföljande lint-skripten (package.json filen) utan modifikation. Vid redovisning ska dessa kunna köras UTAN NÅGRA VARNINGAR ELLER FEL.
3. Databas.
   1. Databasen SQLite skall användas. Skelettet kommer med ett exempel skrivet i sqlite Links to an external site. som använder prepared statements. Se till att ni förstår exemplet innan ni går vidare.
   2. Alla queries skall vara säkra mot SQL injections.
   3. Alla registrerade användare skall sparas i databasen.
   4. Inloggning skall enbart tillåtas om det angivna användarnamnet och lösenordet som finns registrerat i databasen.
   5. Registrering av ett upptaget användarnamn skall inte vara tillåtet.
   6. Användarnamn samt lösenord måste vara minst 3 tecken långa samt innehålla minst en bokstav och en siffra.
4. Registrering.
   1. Vid lyckad registrering ska användaren bli inloggad och hamna på profilsidan.
   2. Vid misslyckad registrergin t.ex p.g.a. att användarnamnet är redan taget, visas registreringssidan med ett felmeddelande. I felmeddelandet ska det stå det användarnamnet som hade använts för det misslyckade registreringen, precis som demo.
   3. Om lösenordet inte matchar med bekräftelse lösenordet så ska detta meddelas som 
5.  Inloggning.
   1. Vid lyckad inloggning:
      1. Inloggningssession skall skapas och associerad kaka skall skickas till användaren. Redan inloggade användare ska hamna på profilsidan oavsett handling (t.ex uppdatering av sidan ändra url till login-sidan etc) med undantag för utloggning se punkt 6.3.2 nedan.
      2. Användaren skall bli omderigerad till dess profilsidan.
   2. Vid misslyckad inloggning:
      1. Användaren skall bli omderigerad till inloggningssidan igen, fast med ett felmeddelande.
6. Utloggning.
   1. Det skall finnas en utloggningsknapp på profilsidan. 
   2. Utloggning skall enbart tillåtas för inloggad användare.
   3. Vid lyckad utloggning:
      1. Inloggningssessionen skall tas bort, samt assosierad kaka skall invalideras.
      2. Användaren skall bli omdirigerad till inloggningssidan.
7. Säkerhet.
   1. Det skall finnas ett middelware Links to an external site. på serversidan som hindrar ej inloggade användare från att få tillgång till profilsidan genom att försöka skriva url:en till profilsidan i webbläsarens adressfält och omdirigerar användaren till inloggningssidan.
   2. Inloggade användare som skriver url:en till inloggningssidan eller registreringssdian hamnar automatiskt i profilsidan.

Referenser

Node.js: https://nodejs.org/en/ Links to an external site.

Express.js: https://expressjs.com/ Links to an external site.

SQLite: https://www.npmjs.com/package/sqlite Links to an external site.

Bonusuppgift 3X

Alla krav i basuppgiften samt samtliga följande krav måste uppfyllas:

1. SLO (Single Logout)
   Förutom utloggnings-knappen från grunduppgiften på profilsidan ska det finnas även en länk för att logga ut ALLA ANDRA aktiva sessioner associerade med samma konto (t.ex sessioner som finns kvar när man loggade in från andra datorer/webbläsare och glömt logga ut). Det vill säga profilsida som tillhör den absolut första sessionen ska inte att ha en sådant länk som kan logga ut alla andra. Men de senare sessionerna ska ha en länk på profilsidan som via länken kan logga ut alla andra men inte sig själv. Länken ska försvinna UTAN ATT HELA profilsidan uppdateras, detta är möjligt med AJAX-teknik. (genomgång av AJAX kommer att finnas på föreläsningarna)  
2. Passive sessionsinvalidering
   1. Inloggnings-sessionen skall invalideras automatiskt efter en viss tid från senaste interaktion med servern. Senaste instruktion kan t.ex vara när man uppdaterar profilsidan med hjälp av webbläsarens refresh-knapp. (ni får välja tiden, förslagsvis 10 sekunder, för att underlätta redovisning av labben).
   2. Efter invalideringen ska den aktuella sidan (vilket i detta fall ska vara profilsidan)  automatisk och utan användarens inverkan omdirigeras till inloggnings-sidan.
3. Säkerhet.
   1. Lösenorden som lagras i databasen skall Hash:as sam saltas med BCrypt. Links to an external site.Dvs lösenord får inte lagras i klartext.
   2. Var redo på att besvara frågor gällande varför hash:ning och saltning är nödvändigt för lösenordssäkerhet.