Hapi.js 是一个非常流行的 Node.js Web 框架,它提供了一些强大的特性,例如路由管理、请求验正等等。和其他框架一样,保护 API 的安全性很重要,所以今天我们将介绍如何使用 Hapi.js 自带的 hapi-auth-bearer-token 插件来进行 Token 鉴权。
前言
在开发后端 API 的时候,通常会使用 token 来保障 API 请求的安全性。Token 鉴权是验证用户身份的一种方式,客户端在登录之后会从服务端获取一个 access_token,然后将它存储在本地,每次请求时都把 token 发送给服务端,服务端验证 token 的有效性。
安装 hapi-auth-bearer-token
在我们开始之前,您需要安装 Hapi.js 框架和 hapi-auth-bearer-token 插件。使用 npm 安装如下:
npm install hapi npm install hapi-auth-bearer-token
代码示例
首先,让我们来创建一个简单的 Hapi.js API 并实现 Token 鉴权。如下是最基础的初始化:
-- -------------------- ---- -------
----- ---- - ----------------
----- ------------------- - ----------------------------------
----- ------ - --- -------------
----- ------------
----- ----
---
----- ---- - ----- -- -- -
-- -- ---------------------- --
----- -------------------------------------
-- -- ------
--------------
------- ------
----- ----
-------- --------- -- -- -
------ ------- --------
--
------- -
----- -
--------- ---------
------ --------
-
-
---
-- -- ------
----- ---------------
------------------- ------- ----- -----------------
--
-------在上面的代码中,我们首先使用 const HapiAuthBearerToken = require('hapi-auth-bearer-token'); 引入 hapi-auth-bearer-token 插件,然后使用 await server.register(HapiAuthBearerToken); 注册插件。在构造路由时我们使用 config.auth.strategy 配置策略为 bearer,表明这个接口需要鉴权,并且 scope 为 user。最后执行 await server.start() 启动 server。
在启动服务之前,您需要先生成 token 并将 token 保存在服务器端。在我们的示例中,假设您已经拥有一个在服务器端生成 token 的 API,在这里我们使用假数据:
-- -------------------- ---- -------
----- ----- - -
-- -
--- --
----- -------
-
--
----- ------ - -
-
--- --
-------- --
------ ---------
----------- --------------------------
-
--
----- -------- - ----- ------- -- -- -
----- ------------ - ------------------ -- ---------- --- -------
-- --------------- -
------ - -------- ----- --
-
----- - ------- - - -------------
----- ---- - ---------------
-- ------- -
------ - -------- ----- --
-
------ - -------- ----- ------------ - ---- ---
--validate 函数是 hapi-auth-bearer-token 插件验证 token 的方式。它接受 token 值和 h 对象(它提供了 hapi.js 中的一个方法或对象:如请求或挂件等。)作为参数。它通过与服务器端预先存储的 token 进行比较,如上面代码的假数据中,若找到匹配的 token,则视为有效的 token,并返回 isValid 和 credentials。如果没有找到,则校验无效时返回 false,并且不返回 credentials。
在 hapi-auth-bearer-token 插件内部,我们使用 config.auth.scope 与用户设定的 scope 进行比较。如果匹配则返回验证通过。您可以在 config.auth 对象下设置相关配置,例如 config.auth.scope 和 config.auth.mode(可选 cookie 等鉴权模式)。以下是更完整的 config.auth 配置对象:
-- -------------------- ---- -------
--------------
------- ------
----- ----
-------- --------- -- -- -
------ ------- --------
--
------- -
----- -
--------- ---------
------ ---------
----- ---------- -- --- ---------- - ---------- ----
-
-
---总结
hapi-auth-bearer-token 插件非常容易使用,它提供了一个方便的方式来保障 API 请求的安全性。不过请注意,在部署生产环境前,您需要对安全性进行仔细的分析和评估。了解 hapi-auth-bearer-token 插件使用方式的值,也学习了一些 Hapi.js 方面的知识,希望对您有所帮助。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/649ddf8748841e9894a82a91