Fastify 是一个快速、低开销且可扩展的 Web 框架,它的目标是通过高效的路由和输入验证来提高 API 性能。为了构建安全性更高的 Web 应用程序,我们需要使用用户认证和授权机制来确保只有授权用户才能访问受保护的资源。JSON Web Token(JWT)是一种常用的认证和授权机制,它可以在服务器和客户端之间传递安全的JSON对象,利用签名来验证其真实性。在本文中,我们将介绍如何在 Fastify 中使用 JWT 进行用户认证和授权。
了解 JWT
JWT 是一种基于 JSON 格式的 Token,它由三个部分组成:Header(头部)、Payload(载荷)和 Signature(签名)。Header 部分包含了算法和类型信息,Payload 部分包含了令牌的具体内容,而 Signature 部分则是上述两个部分加密后生成的 Hash 值。在用户登录时,服务器会生成一个 JWT,然后将其返回给客户端,客户端在后续的请求中会将这个 JWT 携带在 Header 或者 Payload 中,服务器基于这些 JWT 来进行用户认证和授权,判断请求是否合法。JWT 的工作方式如下图所示:
在 Fastify 中使用 JWT
在 Fastify 中使用 JWT 需要使用 jsonwebtoken 这个 NPM 包。以下是 Fastify 中使用 JWT 的示例代码:
-- -------------------- ---- -------
----- ------- - -------------------- ------- ---- --
----- --- - -----------------------
-- ---- -- -- --- ------
----- --------- - --------------
-- ---- -- -- --- ------
----- --------- - -
----- ---------
--------- --------
----------- -
---- - ----- -------- -
-
-
-- ---- -- -- ----------- --
---------------------------------------- -
------- ---------
--
-- ---- -- ------
---------------------- ----- --------- ------ -- -
----- - --------- -------- - - ------------
-- -- -------- - --------
-- ------------------- ---------- -
------------------------------- -------
------
-
-- -- -------- - --
----- ----- - ---------- -------- -- ---------- - ---------- ---- --
------------ ----- --
--
-- ---- -- --------
------------------------- - -------------- ---------------------- -- ----- --------- ------ -- -
---------------- -------- -- --------- -- -----
--
-- ---- -- -- ------------ --
-------------------------------- ----- --------- ------ -- -
--- -
----- -------------------
- ----- ----- -
---------------
-
--
-- ---- -- -- -------
-------------------- ----- -- -
-- ----- -
----------------------
---------------
-
------------------------ --------- -- ----------------------------------
--上述示例代码中有七个步骤:
- 创建 JWT Secret,这个 Secret 作为 JWT 签名的秘钥,需要保密。
- 定义 JWT Schema,这个 Schema 是为了 Fastify Plugin 验证传递的 Token 是否合法用的。
- 注册 fastify-jwt 插件,并传递 JWT Secret。
- 创建登录路由,在登录路由中创建 JWT,并返回给客户端。
- 创建受保护的路由,需要进行 JWT 认证才能访问。
- 定义 Fastify 的 authenticate 插件,这个插件将用于验证 JWT。
- 启动 Fastify,并监听端口。
在上述示例代码中,使用了 fastify-jwt 插件和 request.jwtVerify() 方法来验证 JWT,如果验证失败则直接返回错误信息。当客户端访问 /protected 路由时,Fastify 会使用 preValidation 钩子函数中唯一的 authenticate 方法进行 JWT 验证。如果验证通过,则会返回 "This response is protected by JWT" 消息,否则会返回错误信息。
总结
本文介绍了在 Fastify 中使用 JWT 进行用户认证和授权的方法。JWT 是一种安全的 Token 机制,可以用于许多 Web 应用程序的认证和授权场景。在 Fastify 中使用 JWT 需要引入 jsonwebtoken 这个 NPM 包,并注册 fastify-jwt 插件。同时,也需要创建 JWT 和用户认证插件来确保用户有足够的权限访问一些资源。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/64fbe596f6b2d6eab31f8dbc