随着前后端分离的流行,前端开发中的鉴权问题变得越来越复杂。本文将介绍如何使用 Hapi.js 框架和 jwt 技术进行用户验证及鉴权。
什么是 jwt
jwt(JSON Web Token)是一种用于传输安全信息的开放标准,通常用于网络应用程序的身份验证和授权。jwt 由三个部分组成:头部、负载和签名。头部和负载部分使用 Base64Url 编码,签名部分使用 HMAC 算法或 RSA 公钥/私钥签名。
jwt 的应用场景包括单点登录、API 认证和跨域身份验证等。与传统的基于 Cookie 和 Session 的身份验证方式相比,jwt 具有以下优点:
- 跨语言、跨平台,便于前后端分离;
- 不依赖服务器端存储,减小服务器压力;
- 可以在多个域名下共享身份验证信息。
Hapi.js 简介
Hapi.js 是一个 Node.js 的 Web 应用程序框架,使得构建 API 变得更加简单、快速、可靠和可扩展。Hapi.js 提供了一个插件化的架构,可以轻松地扩展其功能,同时还提供了一系列的错误处理、缓存管理、身份认证等功能。
jwt + Hapi.js 实现用户验证和鉴权
下面将介绍如何在 Hapi.js 应用程序中使用 jwt 实现用户验证和鉴权:
1. 安装依赖
首先需要安装 Hapi.js、jsonwebtoken 和 hapi-auth-jwt2 三个模块:
npm install hapi jsonwebtoken hapi-auth-jwt2
2. 创建 jwt 插件
在 Hapi.js 应用程序中,可以通过插件机制来实现 jwt 的验证和鉴权。下面通过编写一个插件来实现验证和鉴权。
-- -------------------- ---- -------
----- ---- - ----------------
----- --- - ------------------------
----- ----- - -
-
--------- --------
--------- --------
------ --------- -------
--
-
--------- -------
--------- -------
------ --------
-
--
----- -------- - ----- -------- --------- -------- -
----- - ---- -------- - - --------
----- ---- - --------------- -- ------------- --- ----------
-- ------- ------ - -------- ----- --
------ - -------- ----- ------------ ---- --
--
----- --------- - -
----- ------
-------- --------
--------- -------- -------- -- -
--------------------------- ------ -
---- --------- -- -------
-------- -- ----
---
---------------------------
-
--
-------------- - ----------该插件中定义了一个 validate 函数,用于验证 jwt 的有效性。在该函数中,首先解析 jwt 的负载部分,拿到其中的 username 信息,再从 users 数组中查找对应的用户,如果找到则返回 { isValid: true, credentials: user },否则返回 { isValid: false }。在上面的例子中,users 数组是一个硬编码的数组,实际应用中需要从数据库中读取。
另外,该插件还定义了 jwt 策略,指定了签名所用的密钥和验证函数 validate。最后,通过 server.auth.default('jwt') 将默认的验证策略设置为 jwt。
3. 使用 jwt 插件
在 Hapi.js 的路由配置中,可以通过 auth 选项指定需要使用的验证策略。下面是一个简单的示例:
-- -------------------- ---- -------
--------------
------- ------
----- -------------
-------- --------- -- -- -
------ ------- ---------------------------------------
--
-------- -
----- -
--------- ------
------ --------
-
-
---在该路由配置中,使用了 auth 选项指定了验证策略为 jwt,另外还指定了需要的用户角色为 user。
当客户端发送请求时,需要在请求头中包含 Authorization 字段,值为 Bearer {token},其中 {token} 为签名后的 jwt 令牌。下面是一个示例代码:
-- -------------------- ---- -------
----- ----- - -----------------
----- --- - ------------------------
----- ----- - ---------- ---- ------- -- --------- - ---------- ---- ---
-------------------------------------------- -
-------- -
-------------- ------- ---------
-
---------------- -- -
---------------------------
---该示例代码中使用了 axios 库发送了一个 GET 请求,其中在请求头中附带了 Authorization 字段。
总结
本文介绍了如何使用 Hapi.js 和 jwt 实现用户验证和鉴权,并通过一个简单的插件和路由示例来演示了该过程。通过学习本文,读者可以了解 Hapi.js 的插件化开发和 jwt 技术的基本原理及应用场景,从而在实际项目中更加灵活地使用身份验证和鉴权功能。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/649baf9d48841e9894875cb8