在现代的 Web 开发中,API 认证是一项非常重要的任务。它可以保护我们的系统免受未授权的访问,同时提供了对用户和数据的安全管理。在这篇文章中,我们将详细介绍如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。
什么是 Hapijs?
Hapijs 是一个基于 Node.js 用于构建 Web 应用程序的框架,它具有高效、可扩展、插件化的优点。Hapijs 提供了许多内建的功能,如路由管理、输入数据验证、缓存处理、错误处理等等。它还可以通过插件实现更多的功能,例如认证和授权。
什么是 Sequelize?
Sequelize 是一个基于 Node.js 的 ORM(对象关系映射)框架,它提供了一种简单的方式来管理 SQL 数据库。Sequelize 可以支持多种数据库,如 MySQL、PostgreSQL 和 SQLite。Sequelize 还可以在管理数据库时提供一些额外的功能,如模型定义、查询构建和数据校验等等。
什么是 Passport?
Passport 是一个 Node.js 的认证中间件,它提供了一种简单的方式来管理用户的认证和授权,例如使用用户名和密码或第三方提供的验证方式来校验用户身份。
什么是 JWT?
JWT(JSON Web Tokens)是一个开放标准,它定义了一种简单的方式来在不同系统之间传递验证信息。JWT 可以将用户的信息加密成一个 token,在客户端和服务端之间传递,用于校验用户身份和授权。
实现 API 认证的步骤
- 安装依赖包
在开始之前,我们需要安装一些依赖包:
npm install hapi joi hapi-auth-jwt2 sequelize mysql2 bcryptjs passport passport-jwt
这些依赖包包括了 Hapijs、Joi 数据验证工具、hapi-auth-jwt2 插件、Sequelize ORM、MySQL2 数据库驱动、bcryptjs 加密库、Passport 中间件和 passport-jwt 策略。
- 定义数据库模型
我们需要定义一些数据库模型,这些模型将保存我们的用户数据和相关的认证信息。在这里,我们将定义一个用户模型和一个 token 模型。
-- -------------------- ---- -------
----- --------- - ---------------------
----- --------- - --- -----------
-------- --------
----- ------------
--------- -------------
--------- ---------
--------- -------------
---
----- ---- - ------------------------ -
------ -
----- ----------------------
------- -----
---------- ------
--
--------- -
----- ----------------------
---------- ------
--
---
----- ----- - ------------------------- -
------ -
----- ----------------------
------- -----
---------- ------
--
---
--------------------
----------------------代码中,我们通过 Sequelize.define() 方法定义了 User 和 Token 模型,这些模型将映射到数据库中的表。User 模型包含了 email 和 password 属性,表示用户名和密码。Token 模型包含了一个 value 属性,代表 token 值。我们使用 User.hasMany(Token) 和 Token.belongsTo(User) 定义了一对多的关系,从而表示一个用户可以有多个 token。
- 定义 Passport 策略
Passport 在处理认证和授权时,需要使用一些策略。在这里,我们将使用 passport-jwt 策略来验证 token。我们需要先定义一个 JWT 配置,并使用这个配置创建一个 Passport 策略。
-- -------------------- ---- -------
----- --------- - ----------------
----- --------- - -
------------ ----------
--------------- ----- -- -
------ --------------------------------------------- -- ----
-
--
----- ----------- - --- ---------------------- ----- --------- ----- -- -
--- -
----- ---- - ----- -------------- ------ - ------ ------------- - ---
-- ------- -
------ ---------- -------
-
------ ---------- ------
- ----- --- -
------ --------
-
---
--------------------------在代码中,我们首先定义了一个 jwtSecret 变量,表示 JWT 的密钥。然后,我们创建了一个 jwtConfig 对象,它包含了 secretOrKey 属性,用于表示密钥,以及 jwtFromRequest 方法,用于从请求中提取 token 值。
在接下来的代码中,我们创建了一个 JwtStrategy 策略,并使用 User.findOne() 查询用户信息,如果找到了用户,则将其传递给 done 函数。如果查询失败或者没有找到用户,则传递 false 给 done 函数。
- 创建 Hapijs 服务器
我们接下来需要创建一个 Hapijs 服务器,这个服务器将管理我们的 API 认证和路由。在这里,我们将定义三个路由:注册用户、登录用户和查询用户信息。
-- -------------------- ---- -------
----- ---------- - ---
----- ------ - --- ------------- ----- ---- ---
--------------
------- -------
----- ------------
-------- -
--------- -
-------- ------------
------ --------------------------------
--------- -------------------------------
---
--
--
-------- ----- --------- -- -- -
--- -
----- - ------ -------- - - ----------------
----- -------------- - ----- --------------------- ------------
----- ---- - ----- ------------- ------ --------- -------------- ---
----- ---------- - ---------- ----- -- -----------
----- -------------- ------ ----------- ------- ------- ---
------ - ------ ---------- --
- ----- --- -
-----------------
------ ------------------ -- -------- -----------------
-
--
---
--------------
------- -------
----- ---------
-------- -
----- ------
--------- -
-------- ------------
------ --------------------------------
--------- -------------------------------
---
--
--
-------- ----- --------- -- -- -
--- -
----- - ------ -------- - - ----------------
----- ---- - ----- -------------- ------ - ----- - ---
-- ------- -
------ ------------------- ----- -- ---------------------
-
----- --------------- - ----- ------------------------ ---------------
-- ------------------ -
------ ------------------- ----- -- ---------------------
-
----- ---------- - ---------- ----- -- -----------
----- -------------- ------ ----------- ------- ------- ---
------ - ------ ---------- --
- ----- --- -
-----------------
------ ------------------ -- ------------------
-
--
---
--------------
------- ------
----- --------
-------- -
----- - --------- ------ ----- ---------- --
--
-------- ----- --------- -- -- -
--- -
----- ---- - -------------------------
------ - ------ ---------- --
- ----- --- -
-----------------
------ ------------------ -- --- ---- -----------------
-
--
---
----- ---------------在代码中,我们首先定义了一个 saltRounds 变量,它表示 bcrypt 加密时使用的 salt 轮数。然后,我们创建了一个 Hapi.Server,并定义了三个路由。这些路由包括了注册、登录和查询用户信息。
在注册和登录路由中,我们使用了 bcrypt 加密库来加密密码,并使用 jwt.sign() 方法来创建 token。然后,我们将这个 token 保存到数据库中,以便后续的校验。
在查询用户信息的路由中,我们使用了 auth 模式来表示这个路由需要认证。我们使用 Passport 的 jwtStrategy 策略来校验 token,并将校验结果存储在 request.auth.credentials 中。用户可以通过此路由获取自己的邮箱信息。
- 测试 API
我们可以使用 Postman 或者 curl 工具来测试我们的 API。我们可以尝试使用以下命令:
-- -------------------- ---- ------- ---- --------- ---- - ----- ------------------------------ - -------- -------------- ----------------- - ------ -- --------- ------------------- ------------ ------------ -- ---- --------- ---- - ----- --------------------------- - -------- -------------- ----------------- - ------ -- --------- ------------------- ------------ ------------ -- ---- --------- --- - ----- -------------------------- - -------- --------------- ------ --------
在每个请求中,我们使用了不同的命令参数来调用不同的路由。在第一个命令中,我们注册了一个新用户,并获取了 token 值。在第二个命令中,我们使用刚刚注册的用户登录,并获取了新的 token 值。在第三个命令中,我们使用获取到的 token 值来查询用户信息。
总结
在这篇文章中,我们介绍了如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。我们首先学习了这些库的基本知识,然后详细讲解了各个步骤的实现方法。最后,我们编写了一些示例代码,并使用 curl 来测试了我们的 API。这些内容将为读者带来深度的学习和实践经验,以及指导意义。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6468110e968c7c53b0848fcb