Hapijs + Sequelize + Passport + JWT 实现 API 认证

阅读时长 11 分钟读完

在现代的 Web 开发中,API 认证是一项非常重要的任务。它可以保护我们的系统免受未授权的访问,同时提供了对用户和数据的安全管理。在这篇文章中,我们将详细介绍如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。

什么是 Hapijs?

Hapijs 是一个基于 Node.js 用于构建 Web 应用程序的框架,它具有高效、可扩展、插件化的优点。Hapijs 提供了许多内建的功能,如路由管理、输入数据验证、缓存处理、错误处理等等。它还可以通过插件实现更多的功能,例如认证和授权。

什么是 Sequelize?

Sequelize 是一个基于 Node.js 的 ORM(对象关系映射)框架,它提供了一种简单的方式来管理 SQL 数据库。Sequelize 可以支持多种数据库,如 MySQL、PostgreSQL 和 SQLite。Sequelize 还可以在管理数据库时提供一些额外的功能,如模型定义、查询构建和数据校验等等。

什么是 Passport?

Passport 是一个 Node.js 的认证中间件,它提供了一种简单的方式来管理用户的认证和授权,例如使用用户名和密码或第三方提供的验证方式来校验用户身份。

什么是 JWT?

JWT(JSON Web Tokens)是一个开放标准,它定义了一种简单的方式来在不同系统之间传递验证信息。JWT 可以将用户的信息加密成一个 token,在客户端和服务端之间传递,用于校验用户身份和授权。

实现 API 认证的步骤

  1. 安装依赖包

在开始之前,我们需要安装一些依赖包:

这些依赖包包括了 Hapijs、Joi 数据验证工具、hapi-auth-jwt2 插件、Sequelize ORM、MySQL2 数据库驱动、bcryptjs 加密库、Passport 中间件和 passport-jwt 策略。

  1. 定义数据库模型

我们需要定义一些数据库模型,这些模型将保存我们的用户数据和相关的认证信息。在这里,我们将定义一个用户模型和一个 token 模型。

-- -------------------- ---- -------
----- --------- - ---------------------
----- --------- - --- -----------
  -------- --------
  ----- ------------
  --------- -------------
  --------- ---------
  --------- -------------
---

----- ---- - ------------------------ -
  ------ -
    ----- ----------------------
    ------- -----
    ---------- ------
  --
  --------- -
    ----- ----------------------
    ---------- ------
  --
---

----- ----- - ------------------------- -
  ------ -
    ----- ----------------------
    ------- -----
    ---------- ------
  --
---

--------------------
----------------------

代码中,我们通过 Sequelize.define() 方法定义了 User 和 Token 模型,这些模型将映射到数据库中的表。User 模型包含了 email 和 password 属性,表示用户名和密码。Token 模型包含了一个 value 属性,代表 token 值。我们使用 User.hasMany(Token) 和 Token.belongsTo(User) 定义了一对多的关系,从而表示一个用户可以有多个 token。

  1. 定义 Passport 策略

Passport 在处理认证和授权时,需要使用一些策略。在这里,我们将使用 passport-jwt 策略来验证 token。我们需要先定义一个 JWT 配置,并使用这个配置创建一个 Passport 策略。

-- -------------------- ---- -------
----- --------- - ----------------
----- --------- - -
  ------------ ----------
  --------------- ----- -- -
    ------ --------------------------------------------- -- ----
  -
--

----- ----------- - --- ---------------------- ----- --------- ----- -- -
  --- -
    ----- ---- - ----- -------------- ------ - ------ ------------- - ---
    -- ------- -
      ------ ---------- -------
    -

    ------ ---------- ------
  - ----- --- -
    ------ --------
  -
---

--------------------------

在代码中,我们首先定义了一个 jwtSecret 变量,表示 JWT 的密钥。然后,我们创建了一个 jwtConfig 对象,它包含了 secretOrKey 属性,用于表示密钥,以及 jwtFromRequest 方法,用于从请求中提取 token 值。

在接下来的代码中,我们创建了一个 JwtStrategy 策略,并使用 User.findOne() 查询用户信息,如果找到了用户,则将其传递给 done 函数。如果查询失败或者没有找到用户,则传递 false 给 done 函数。

  1. 创建 Hapijs 服务器

我们接下来需要创建一个 Hapijs 服务器,这个服务器将管理我们的 API 认证和路由。在这里,我们将定义三个路由:注册用户、登录用户和查询用户信息。

-- -------------------- ---- -------
----- ---------- - ---

----- ------ - --- ------------- ----- ---- ---

--------------
  ------- -------
  ----- ------------
  -------- -
    --------- -
      -------- ------------
        ------ --------------------------------
        --------- -------------------------------
      ---
    --
  --
  -------- ----- --------- -- -- -
    --- -
      ----- - ------ -------- - - ----------------
      ----- -------------- - ----- --------------------- ------------

      ----- ---- - ----- ------------- ------ --------- -------------- ---

      ----- ---------- - ---------- ----- -- -----------

      ----- -------------- ------ ----------- ------- ------- ---

      ------ - ------ ---------- --
    - ----- --- -
      -----------------
      ------ ------------------ -- -------- -----------------
    -
  --
---

--------------
  ------- -------
  ----- ---------
  -------- -
    ----- ------
    --------- -
      -------- ------------
        ------ --------------------------------
        --------- -------------------------------
      ---
    --
  --
  -------- ----- --------- -- -- -
    --- -
      ----- - ------ -------- - - ----------------

      ----- ---- - ----- -------------- ------ - ----- - ---

      -- ------- -
        ------ ------------------- ----- -- ---------------------
      -

      ----- --------------- - ----- ------------------------ ---------------

      -- ------------------ -
        ------ ------------------- ----- -- ---------------------
      -

      ----- ---------- - ---------- ----- -- -----------

      ----- -------------- ------ ----------- ------- ------- ---

      ------ - ------ ---------- --
    - ----- --- -
      -----------------
      ------ ------------------ -- ------------------
    -
  --
---

--------------
  ------- ------
  ----- --------
  -------- -
    ----- - --------- ------ ----- ---------- --
  --
  -------- ----- --------- -- -- -
    --- -
      ----- ---- - -------------------------
      ------ - ------ ---------- --
    - ----- --- -
      -----------------
      ------ ------------------ -- --- ---- -----------------
    -
  --
---

----- ---------------

在代码中,我们首先定义了一个 saltRounds 变量,它表示 bcrypt 加密时使用的 salt 轮数。然后,我们创建了一个 Hapi.Server,并定义了三个路由。这些路由包括了注册、登录和查询用户信息。

在注册和登录路由中,我们使用了 bcrypt 加密库来加密密码,并使用 jwt.sign() 方法来创建 token。然后,我们将这个 token 保存到数据库中,以便后续的校验。

在查询用户信息的路由中,我们使用了 auth 模式来表示这个路由需要认证。我们使用 Passport 的 jwtStrategy 策略来校验 token,并将校验结果存储在 request.auth.credentials 中。用户可以通过此路由获取自己的邮箱信息。

  1. 测试 API

我们可以使用 Postman 或者 curl 工具来测试我们的 API。我们可以尝试使用以下命令:

-- -------------------- ---- -------
---- --------- ---- -
  ----- ------------------------------ -
  -------- -------------- ----------------- -
  ------ --
--------- -------------------
------------ ------------
--

---- --------- ---- -
  ----- --------------------------- -
  -------- -------------- ----------------- -
  ------ --
--------- -------------------
------------ ------------
--

---- --------- --- -
  ----- -------------------------- -
  -------- --------------- ------ --------

在每个请求中,我们使用了不同的命令参数来调用不同的路由。在第一个命令中,我们注册了一个新用户,并获取了 token 值。在第二个命令中,我们使用刚刚注册的用户登录,并获取了新的 token 值。在第三个命令中,我们使用获取到的 token 值来查询用户信息。

总结

在这篇文章中,我们介绍了如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。我们首先学习了这些库的基本知识,然后详细讲解了各个步骤的实现方法。最后,我们编写了一些示例代码,并使用 curl 来测试了我们的 API。这些内容将为读者带来深度的学习和实践经验,以及指导意义。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6468110e968c7c53b0848fcb

纠错
反馈