npm 包 copy-loopback-auth0-jwt 使用教程

前言

在开发前端应用时，常常会用到认证授权等功能。而使用 Auth0 作为认证平台，可以解决这些问题。本文将介绍一个基于 Auth0 的 npm 包 copy-loopback-auth0-jwt，该 npm 包可以方便地在 LoopBack 框架上集成 Auth0，帮助我们实现认证与授权功能。

本文适用人群：一定的前端开发经验，对 LoopBack 框架有一点了解，对 Auth0 平台有一定的了解。

简介

copy-loopback-auth0-jwt 是一个基于 JSON Web Token（JWT）的认证方案，它使用 Auth0 作为授权和认证平台。该方案可以帮助我们在 LoopBack 应用程序上实现认证和授权功能。此 npm 包不需要太多的配置，只需要几个简单的 API 和配置参数即可实现。

安装

在使用 copy-loopback-auth0-jwt npm 包前，需要先安装 Auth0 账户。安装方式可参考Auth0 文档。

安装 copy-loopback-auth0-jwt npm 包，可以通过 npm 或 yarn 安装。

npm i copy-loopback-auth0-jwt --save

或者

yarn add copy-loopback-auth0-jwt

使用

步骤一：添加中间件

在 LoopBack 应用程序中，使用 JWT 来保护 API 端点。我们需要在项目中添加 Express 中间件来处理 JWT。我们可以在 server.js 文件中添加以下代码。

const jwt = require('copy-loopback-auth0-jwt');
app.use(jwt({
  jwksUri: '{Auth0_domain}.well-known/jwks.json',
  audience: '{Auth0_audience}',
  issuer: '{Auth0_issuer}',
  algorithm: ['RS256'],
  credentialsRequired: false,
}));

• jwksUri - Auth0 的 JSON Web Key Set（JWKS）地址。
• audience - API 的唯一标识符，可在 Auth0 的控制台中找到。
• issuer - Auth0 颁发 JWT 的域，可在 Auth0 的控制台中找到。
• algorithm - 使用的加密算法。
• credentialsRequired - 是否需要验证 JWT。

步骤二：添加认证授权 API

我们可以添加一个 REST API，该 API 可帮助我们创建用户并返回 JWT。我们可以在 users.json 文件中设置一些用户名和密码，在注册 API 中进行检查。

示例代码如下：

-- -------------------- ---- -------
-- ----------
-
  -
    -------- ------------------
    ----------- ---------
  --
  -
    -------- ------------------
    ----------- ---------
  -
-

在 users.json 文件中添加一些用户。

-- -------------------- ---- -------
-- -------
----- ----- - ------------------------------
----- --- - ------------------------
----- --------- - --------------------------

----- --------- - -----

-------------- - -------------- -
  ---------------------- - --------------- --------- --- -
    ----- ---- - --------------- -- ---------- -- ----- -- ------------- -- ----------

    -- ------ -
      ----- ----- - ------------ ---------- -
        ---------- ----------
        --------- ---------
        ------- -------
      ---

      -------- -------
    - ---- -
      ------ ------------ -- -------- -- --- -----------
    -
  --

  -------------------------------------- -
    -------- -
      ----- -------- ----- --------- --------- ------
      ----- ----------- ----- --------- --------- ------
    --
    -------- ----- -------- ----- ----------
  ---
--

在 User 模型中添加 createAccessToken 静态方法，这是返回 JWT 的 API。该方法接受 email 和 password 并返回 JWT。在生成 JWT 时，使用了jsonwebtoken npm 包的sign()方法。sign()方法使用一个密钥来加密 JWT 的负载。我们可以使用动态生成的密钥，该密钥定义在环境变量中。

步骤三：保护 API

在使用 JWT 保护 API 之前，我们需要在 server.js 中添加以下代码来禁用默认的回调 API 和 REST API。

-- -------------------- ---- -------
----------------------------
--------------------
-------------------- -----------------
--------------------------------
---------------------------------
---------------- ------------- ---- ---- ----- -
  -----------------------
  ----------
---

在禁用默认回调 API 和 REST API 后，我们可以为受 JWT 保护的端点添加 LoopBack 其余部分。以例子而言，我们可以在 User 模型上定义下面的公共方法：

-- -------------------- ---- -------
---------------------- - --------------------- --- -
  ---------
    ---- --------
    -------- -
      ---------------- ------- - - ------------
    --
    ----- -----
  --
  -------- ------- --------- ----- -
    -- ------- -- ------------------- -- ---- -
      -------- ------
    - ---- -
      -------- -- ------
    -
  ---
--

-------------------------------------- -
  -------- -
    ----- -------------- ----- --------- --------- ------
  --
  -------- ----- ---------- ----- ----------
---

在 User 模型中添加了一个 createUserProfile 公共方法。该方法执行一个 API 请求，该请求使用访问 JWT（accessToken）进行身份验证。在请求成功时，返回 API 响应中的用户信息。

示例

-- -------------------- ---- -------
-- --------
----- --- - -----------------------------------
----- - ---- - - ---------------------

-------------- - ----- --------------- --------- -
  ----- ----- - ----- --- ----------------- ------- -- -
    ----------------------------- --------- ------------- ------ -
      -- ----- -
        ------------
      - ---- -
        ---------------
      -
    ---
  ---

  ----- ------- - ----- --- ----------------- ------- -- -
    ----------------------------- ------------- -------- -
      -- ----- -
        ------------
      - ---- -
        -----------------
      -
    ---
  ---

  ------ -
    ------ ------
    -------- --------
  --
--

上述代码定义了 login 函数，该函数接受 email 和 password 参数。它会调用 User 模型的 createAccessToken 方法并返回 JWT。然后，它将 JWT 传递给 createUserProfile 方法，获取用户信息。

完整代码示例可参考https://github.com/lduoduo/copy-loopback-auth0-jwt-example。

结尾

通过 copy-loopback-auth0-jwt，我们可以快速地实现基于 Auth0 的认证和授权功能，为我们的应用程序增加安全性。本文详细介绍了使用 copy-loopback-auth0-jwt 的步骤，希望对你有所帮助。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/6005581081e8991b448d5352