在现代的 Web 开发中,API 认证是一项非常重要的任务。它可以保护我们的系统免受未授权的访问,同时提供了对用户和数据的安全管理。在这篇文章中,我们将详细介绍如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。
什么是 Hapijs?
Hapijs 是一个基于 Node.js 用于构建 Web 应用程序的框架,它具有高效、可扩展、插件化的优点。Hapijs 提供了许多内建的功能,如路由管理、输入数据验证、缓存处理、错误处理等等。它还可以通过插件实现更多的功能,例如认证和授权。
什么是 Sequelize?
Sequelize 是一个基于 Node.js 的 ORM(对象关系映射)框架,它提供了一种简单的方式来管理 SQL 数据库。Sequelize 可以支持多种数据库,如 MySQL、PostgreSQL 和 SQLite。Sequelize 还可以在管理数据库时提供一些额外的功能,如模型定义、查询构建和数据校验等等。
什么是 Passport?
Passport 是一个 Node.js 的认证中间件,它提供了一种简单的方式来管理用户的认证和授权,例如使用用户名和密码或第三方提供的验证方式来校验用户身份。
什么是 JWT?
JWT(JSON Web Tokens)是一个开放标准,它定义了一种简单的方式来在不同系统之间传递验证信息。JWT 可以将用户的信息加密成一个 token,在客户端和服务端之间传递,用于校验用户身份和授权。
实现 API 认证的步骤
- 安装依赖包
在开始之前,我们需要安装一些依赖包:
npm install hapi joi hapi-auth-jwt2 sequelize mysql2 bcryptjs passport passport-jwt
这些依赖包包括了 Hapijs、Joi 数据验证工具、hapi-auth-jwt2 插件、Sequelize ORM、MySQL2 数据库驱动、bcryptjs 加密库、Passport 中间件和 passport-jwt 策略。
- 定义数据库模型
我们需要定义一些数据库模型,这些模型将保存我们的用户数据和相关的认证信息。在这里,我们将定义一个用户模型和一个 token 模型。
-- -------------------- ---- ------- ----- --------- - --------------------- ----- --------- - --- ----------- -------- -------- ----- ------------ --------- ------------- --------- --------- --------- ------------- --- ----- ---- - ------------------------ - ------ - ----- ---------------------- ------- ----- ---------- ------ -- --------- - ----- ---------------------- ---------- ------ -- --- ----- ----- - ------------------------- - ------ - ----- ---------------------- ------- ----- ---------- ------ -- --- -------------------- ----------------------
代码中,我们通过 Sequelize.define() 方法定义了 User 和 Token 模型,这些模型将映射到数据库中的表。User 模型包含了 email 和 password 属性,表示用户名和密码。Token 模型包含了一个 value 属性,代表 token 值。我们使用 User.hasMany(Token) 和 Token.belongsTo(User) 定义了一对多的关系,从而表示一个用户可以有多个 token。
- 定义 Passport 策略
Passport 在处理认证和授权时,需要使用一些策略。在这里,我们将使用 passport-jwt 策略来验证 token。我们需要先定义一个 JWT 配置,并使用这个配置创建一个 Passport 策略。
-- -------------------- ---- ------- ----- --------- - ---------------- ----- --------- - - ------------ ---------- --------------- ----- -- - ------ --------------------------------------------- -- ---- - -- ----- ----------- - --- ---------------------- ----- --------- ----- -- - --- - ----- ---- - ----- -------------- ------ - ------ ------------- - --- -- ------- - ------ ---------- ------- - ------ ---------- ------ - ----- --- - ------ -------- - --- --------------------------
在代码中,我们首先定义了一个 jwtSecret 变量,表示 JWT 的密钥。然后,我们创建了一个 jwtConfig 对象,它包含了 secretOrKey 属性,用于表示密钥,以及 jwtFromRequest 方法,用于从请求中提取 token 值。
在接下来的代码中,我们创建了一个 JwtStrategy 策略,并使用 User.findOne() 查询用户信息,如果找到了用户,则将其传递给 done 函数。如果查询失败或者没有找到用户,则传递 false 给 done 函数。
- 创建 Hapijs 服务器
我们接下来需要创建一个 Hapijs 服务器,这个服务器将管理我们的 API 认证和路由。在这里,我们将定义三个路由:注册用户、登录用户和查询用户信息。
-- -------------------- ---- ------- ----- ---------- - --- ----- ------ - --- ------------- ----- ---- --- -------------- ------- ------- ----- ------------ -------- - --------- - -------- ------------ ------ -------------------------------- --------- ------------------------------- --- -- -- -------- ----- --------- -- -- - --- - ----- - ------ -------- - - ---------------- ----- -------------- - ----- --------------------- ------------ ----- ---- - ----- ------------- ------ --------- -------------- --- ----- ---------- - ---------- ----- -- ----------- ----- -------------- ------ ----------- ------- ------- --- ------ - ------ ---------- -- - ----- --- - ----------------- ------ ------------------ -- -------- ----------------- - -- --- -------------- ------- ------- ----- --------- -------- - ----- ------ --------- - -------- ------------ ------ -------------------------------- --------- ------------------------------- --- -- -- -------- ----- --------- -- -- - --- - ----- - ------ -------- - - ---------------- ----- ---- - ----- -------------- ------ - ----- - --- -- ------- - ------ ------------------- ----- -- --------------------- - ----- --------------- - ----- ------------------------ --------------- -- ------------------ - ------ ------------------- ----- -- --------------------- - ----- ---------- - ---------- ----- -- ----------- ----- -------------- ------ ----------- ------- ------- --- ------ - ------ ---------- -- - ----- --- - ----------------- ------ ------------------ -- ------------------ - -- --- -------------- ------- ------ ----- -------- -------- - ----- - --------- ------ ----- ---------- -- -- -------- ----- --------- -- -- - --- - ----- ---- - ------------------------- ------ - ------ ---------- -- - ----- --- - ----------------- ------ ------------------ -- --- ---- ----------------- - -- --- ----- ---------------
在代码中,我们首先定义了一个 saltRounds 变量,它表示 bcrypt 加密时使用的 salt 轮数。然后,我们创建了一个 Hapi.Server,并定义了三个路由。这些路由包括了注册、登录和查询用户信息。
在注册和登录路由中,我们使用了 bcrypt 加密库来加密密码,并使用 jwt.sign() 方法来创建 token。然后,我们将这个 token 保存到数据库中,以便后续的校验。
在查询用户信息的路由中,我们使用了 auth 模式来表示这个路由需要认证。我们使用 Passport 的 jwtStrategy 策略来校验 token,并将校验结果存储在 request.auth.credentials 中。用户可以通过此路由获取自己的邮箱信息。
- 测试 API
我们可以使用 Postman 或者 curl 工具来测试我们的 API。我们可以尝试使用以下命令:
-- -------------------- ---- ------- ---- --------- ---- - ----- ------------------------------ - -------- -------------- ----------------- - ------ -- --------- ------------------- ------------ ------------ -- ---- --------- ---- - ----- --------------------------- - -------- -------------- ----------------- - ------ -- --------- ------------------- ------------ ------------ -- ---- --------- --- - ----- -------------------------- - -------- --------------- ------ --------
在每个请求中,我们使用了不同的命令参数来调用不同的路由。在第一个命令中,我们注册了一个新用户,并获取了 token 值。在第二个命令中,我们使用刚刚注册的用户登录,并获取了新的 token 值。在第三个命令中,我们使用获取到的 token 值来查询用户信息。
总结
在这篇文章中,我们介绍了如何使用 Hapijs、Sequelize、Passport 和 JWT 来实现 API 认证。我们首先学习了这些库的基本知识,然后详细讲解了各个步骤的实现方法。最后,我们编写了一些示例代码,并使用 curl 来测试了我们的 API。这些内容将为读者带来深度的学习和实践经验,以及指导意义。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6468110e968c7c53b0848fcb