本文将介绍 Hapi 框架中使用 JWT 实现鉴权的实践经验以及代码分析,旨在深入学习和了解前端开发中的身份验证机制。
什么是 JWT?
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络中传输声明。它被用于身份验证和授权,是一种安全的方法,可以用于跨域环境下,尤其是不同域名(甚至不同服务器)之间的应用程序。
JWT 包括三部分:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是 JSON 格式,头部包含算法、类型等信息,载荷包含用户的身份、过期时间等信息。签名由头部、载荷、加密密钥组合而成。使用 JWT 的应用程序可以在验证签名时确认数据的完整性。
Hapi 框架
Hapi 是一个 Node.js 的应用框架,专门用于构建 Web 服务。它的主要特点包括路由表、插件机制、输入验证、缓存支持等。Hapi 可以帮助开发者在构建 Web 应用时保持干净、简单和可维护的代码。
实践与代码分析
下面,我们将使用 Hapi 框架和 JWT 实现一个简单的鉴权系统。我们将使用一个名为 hapi-auth-jwt2 的插件,在 Hapi 应用中实现 JWT 鉴权。
安装和配置 hapi-auth-jwt2
在终端中,使用 NPM 安装 hapi-auth-jwt2 插件和 jsonwebtoken 模块:
npm install hapi-auth-jwt2 jsonwebtoken --save
在 Hapi 应用中,配置 hapi-auth-jwt2 插件:
// javascriptcn.com 代码示例
const Hapi = require('hapi');
const jwt = require('jsonwebtoken');
const HapiJwtAuth = require('hapi-auth-jwt2');
const server = new Hapi.Server({
port: 3000
});
const validate = async (decoded, request) => {
// 在这里验证用户信息,返回 Boolean
};
const init = async() => {
await server.register(HapiJwtAuth);
server.auth.strategy('jwt', 'jwt', {
key: 'yourSecretKey', // 一个随机的字符串,用于签名 JWT
validateFunc: validate, // 验证函数
verifyOptions: { algorithms: [ 'HS256' ] } // 加密算法
});
server.route({
method: 'GET',
path: '/authenticate',
options: {
auth: false // 禁用 JWT 鉴权
},
handler: (request, h) => {
// 在这里生成和下发 JWT
}
});
server.route({
method: 'GET',
path: '/protected',
options: {
auth: 'jwt' // 使用 JWT 鉴权
},
handler: (request, h) => {
// 在这里处理需要鉴权的请求
}
});
await server.start();
console.log(`Server running at: ${server.info.uri}`);
};
init();在这里,我们使用 register 方法将 hapi-auth-jwt2 插件引入到 Hapi 应用中。接下来,我们使用 auth.strategy 方法创建一个 Authentication Strategy(鉴权策略),将其命名为 'jwt',并指定 key(用于签名 JWT 的字符串)、validateFunc(验证函数)和 verifyOptions(加密算法)。最后,我们在 server.route 方法中定义两个路由,其中一个需要使用 JWT 鉴权,另一个禁止 JWT 鉴权。
实现 JWT 生成和下发
在路由 /authenticate 中,我们将实现生成和下发 JWT 的代码:
handler: (request, h) => {
const payload = { userId: 1, name: "Bob" }; // 载荷
const token = jwt.sign(payload, 'yourSecretKey', { expiresIn: '1h' }); // 生成 JWT
return token; // 返回 JWT 字符串
}在这里,我们使用 jsonwebtoken 的 sign 方法生成 JWT,指定了鉴权字符串和过期时间,最后返回 JWT 字符串。
实现 JWT 鉴权
在路由 /protected 中,我们将实现 JWT 鉴权的代码:
handler: (request, h) => {
const jwtString = request.headers.authorization.split(' ')[1];
const decoded = jwt.verify(jwtString, 'yourSecretKey');
return `Hello ${decoded.name}!`; // 返回用户信息
}在这里,我们首先从请求头中获取 JWT 字符串,然后使用 jsonwebtoken 的 verify 方法对其进行验证,如果验证成功则返回用户信息。
使用
在浏览器或 API 客户端中,尝试访问路由 /authenticate,将会返回一个 JWT 字符串。使用该字符串进行后续请求时,需要在请求头中添加 Authorization 字段:
Authorization: Bearer <JWT 字符串>
现在,访问路由 /protected 时,将使用 JWT 进行鉴权。
总结
本文介绍了 Hapi 框架中使用 JWT 实现鉴权的实践和代码分析。JWT 是一种安全的身份验证机制,可以用于实现跨域应用程序中的身份验证。Hapi 是一个 Node.js 的 Web 框架,提供路由、插件、验证等功能,可以帮助开发者构建简单、可维护的 Web 应用。
通过本文的实践,读者可以深入学习和了解 JWT 和 Hapi 框架,进一步提高自己的前端开发能力。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/652a34517d4982a6ebc8bb10