Hapi 与 JWT：实现 Node.js Web 应用的可靠身份验证

在现代 Web 应用程序中，认证和授权是非常重要的组成部分。安全是一个主要的问题，用户的隐私和数据需要得到保护。JSON Web Token（JWT）是一个安全的认证协议，用于验证用户，从而保护 Web 应用程序的安全。

Hapi 是一款广泛使用的基于 Node.js 的 Web 应用程序框架。它具有一个强大的插件系统，使得 JWT 集成到 Hapi 中变得非常容易。在本文中，我们将重点介绍如何使用 Hapi 和 JWT 实现可靠的身份验证。

JWT 介绍

JSON Web Token（JWT）是一个开放的标准，用于客户端和服务器之间的安全通讯。它是由 JSON 对象组成的字符串，可以被任何人阅读，同时也可以被验证和进行处理。JWT 通常用于身份验证和授权方面。JWT 是由三部分组成的：

Header

JWT 的头部包含了两个重要的信息：令牌的类型以及使用的签名算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

JWT 的载荷包含了被传输的数据。它包含了声明和值，其中声明是一些关键信息，用于描述被处理的数据。JWT 通常包含以下声明：

• iss (issuer): 令牌的颁发者。
• sub (subject): 令牌所面向的用户。
• exp (expiration time): 令牌的过期时间，以 Unix 时间戳表示。
• iat (issued at): 令牌的颁发时间，以 Unix 时间戳表示。

{
  "iss": "example.org",
  "sub": "1234567890",
  "exp": 1516239022,
  "iat": 1516235122
}

Signature

JWT 的签名用于验证发送方是否是可信的。它需要使用到一个密钥，这个密钥只有发送方和接收方知道。签名的最终结果是一个字符串，用于验证 JWT 是否有效。

使用 Hapi 和 JWT

要使用 Hapi 和 JWT 进行身份验证，首先需要安装两个包：hapi 和 jsonwebtoken。在安装完成后，我们可以创建一个简单的 Hapi 服务器，并使用 JWT 对用户进行身份验证。

-- -------------------- ---- -------
----- ---- - ----------------
----- --- - ------------------------

----- ------ - -------------
  ----- -----
  ----- -----------
--

---
 - ------
 --
----- ----- - -
  - --- -- --------- -------- --------- -------- --
  - --- -- --------- ------- --------- -------- -
--

---
 - -- --- --
 --
----- ---------- - ---------

---
 - ---------
 --
----- ------------ - ----- ---------- --------- -- -
  ----- ---- - ------------ -- ---------- --- -------- -- ---------- --- ----------
  ------ -----
--

---
 - ---- --- ---
 --
----- ------------- - ----- ------ -- -
  ----- ----- - ---------- --- -------- --------- ------------- -- ----------- - ---------- ---- ---
  ------ ------
--

---
 - -- ----- ------
 --
----- ------------- - ----- ------- -- -
  ------ ----- ----------------- ------------
--

---
 - -----------
 --
--------------
  ------- -------
  ----- --------
  -------- ----- --------- -- -- -
    ----- - --------- -------- - - ----------------
    ----- ---- - ----- ---------------------- ----------

    -- ------- -
      ------ -------------------------- -------------------
    -

    ----- ----- - ----- --------------------

    ------ -
      ------ -----
    --
  -
---

--------------
  ------- ------
  ----- ------
  -------- ----- --------- -- -- -
    ----- ---------- - ------------------------------

    -- ------------- -
      ------ -------------- ------------- ----- ---------------------
    -

    ----- ----- - ------------------ ------
    ----- ------- - ----- ---------------------

    ------ -
      --- -----------
      --------- ----------------
    --
  -
---

---
 - -----
 --
----- ----- - ----- -- -- -
  ----- ---------------
  ------------------- ------- --- ---------------------
--

--------

首先，我们定义了一个简单的用户数组，并声明了一个私钥用于生成和验证 JWT。接下来，我们定义了三个函数，分别用于验证用户、生成 JWT 和验证 JWT。最后，我们定义两个路由：一个用于生成 JWT，另一个用于验证 JWT 并返回用户的相关信息。

在路由处理函数中，我们首先验证了用户的用户名和密码是否正确。如果正确，我们生成了一个 JWT 并将其作为 json 格式返回。在 /me 路由中，我们从 Authorization 头中获取 JWT，然后解码该令牌以获取用户信息。

总结

Hapi 和 JWT 的集成使得身份验证非常容易。JWT 提供了一个安全的并且可以跨多个应用程序使用的方法。它可以与任何 Web 框架集成，这使得它成为一个强大的认证方案。祝愿你使用 Hapi 和 JWT 开发出更加安全的 Web 应用程序。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/6490138648841e9894e3ce3b