Hapi.js 实战：使用 Hapi-auth-cookie 进行 cookie 鉴权-JavaScript中文网-JavaScript教程资源分享门户

在 web 开发中，cookie 鉴权是非常常见的一种身份验证方式。Hapi.js 框架自带了鉴权的插件 —— hapi-auth-cookie，它能帮助我们快速实现 cookie 鉴权的功能。

本文将详细介绍如何使用 Hapi-auth-cookie 进行 cookie 鉴权，并提供一些示例代码供读者学习参考。

安装依赖

在开始实战之前，我们需要先安装 hapi-auth-cookie 插件：

$ npm install hapi-auth-cookie --save

注册插件

使用 hapi-auth-cookie 插件需要在注册插件前先创建 hapi-auth-cookie 的实例。然后通过 server.register 注册插件。

下面是一个示例：

-- -------------------- ---- -------
----- ---- - ----------------------
----- -------------- - ----------------------------

----- ------ - -------------
  ----- -----
  ----- -----------
---

------ -- -- -
  ----- ---------------------------------------------

  ------------------------------- --------- -
    ------- -
      ----- ------------
      --------- -----------------------------------
      --------- ------ -- -----
      ---- ----- - ---- -- ----- - -
    --
    ----------- --------- -- -------
    --------- ----- -- -----
  ---

  -------------------------------

  -- ---------
  ----- ---------------

  ------------------- ------- --- ---------------------
-----

以上代码：

创建了 hapi-auth-cookie 实例；
使用 server.register 注册 hapi-auth-cookie 插件；
使用 server.auth.strategy 和 server.auth.default 设定 authentication 设置，同时指定 cookie 的相关配置（如 cookie 名称、加密密码、过期时间等）。

实现登录和鉴权功能

我们可以将登录和鉴权功能结合起来。下面是一个示例：

-- -------------------- ---- -------
--------------
  ------- -------
  ----- ---------
  -------- -
    ----- ----- -- ------
  --
  -------- ----- --------- -- -- -
    ----- - --------- -------- - - ----------------
    ----- ---- - ----- -------------- --------- -------- ---

    -- ------- -
      ------ -------------------------- --------------------
    -

    ----------------------------- -- -- ------
    ------ -----------------------
  -
---

以上代码：

将用户输入的用户名和密码与数据库中的数据进行比对；
如果验证通过，使用 request.cookieAuth.set 设置 cookie。

接下来，我们可以实现一个受保护的路由，只有登录过的用户才能访问它。

server.route({
  method: 'GET',
  path: '/private',
  handler: async (request, h) => {
    const { user } = request.auth.credentials;
    return `Hello, ${user.username}!`; // 鉴权通过，返回用户数据
  }
});

以上代码：

通过 request.auth.credentials 获取已鉴权通过的用户数据；
将用户数据返回给客户端。

安全性设置

前面的代码中，我们在设置 hapi-auth-cookie 插件时，还提到了“安全性设置”。下面我们来介绍 cookie 的安全性。

cookie 信息可以在客户端（浏览器）与服务器之间传递，所以它需要一些安全性措施来防止不良行为（例如信息窃取、cookie 篡改等），Hapi-auth-cookie 插件提供了以下可选配置来提高 cookie 的安全性：

isHttpOnly：配置 cookie 是否可通过浏览器的 JavaScript 访问（例如：防止跨站脚本攻击）。
isSecure：配置该 cookie 是否只能通过 HTTPS 协议来传输。
ttl：配置 cookie 的过期时间，以毫秒计。

总结

Hapi-auth-cookie 插件提供了快速实现 cookie 鉴权的功能。通过本文的介绍，应该对如何在实践中使用 Hapi-auth-cookie 进行 cookie 鉴权有了更深入的了解，希望对大家有所指导作用。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/649c0ec948841e98948d82e0