在现代 Web 应用程序中,身份认证是非常重要的一环,而 JWT(JSON Web Token)是一种广泛使用的身份认证方案。Fastify 是一个快速、低开销且高度可扩展的 Web 框架,它提供了一种简便的方式来实现 JWT 身份认证。本文将介绍如何在 Fastify 中实现 JWT 身份认证,为读者提供深度和学习以及指导意义。
JWT 简介
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。JWT 通常用于身份验证和授权。它由三部分组成:头部、载荷和签名。
头部包含了加密算法和类型信息,例如:
{
"alg": "HS256",
"typ": "JWT"
}载荷包含了需要传输的信息,例如:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}签名用于验证消息的完整性。它由头部、载荷、密钥和加密算法生成。例如:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
JWT 可以通过将其存储在客户端的 cookie 或本地存储中来实现无状态身份验证。当客户端发起请求时,它将 JWT 包含在请求头中。服务器可以使用密钥解码 JWT 并验证其完整性,从而确定请求的来源和权限。
Fastify JWT 插件
Fastify 提供了一个名为 fastify-jwt 的插件,它可以帮助我们轻松地实现 JWT 身份认证。该插件使用 JSON Web Tokens 和 Cookie 进行身份验证,提供了自定义选项和回调函数,可以轻松地与 Fastify 应用程序集成。
安装
首先,我们需要安装 fastify-jwt 插件:
npm install fastify-jwt
使用
在 Fastify 应用程序中使用 fastify-jwt 插件:
-- -------------------- ---- ------- ----- ------- - -------------------- ---------------------------------------- - ------- ------------- -- -------------------- ----- -------- -- - -- ----- ----- --- ------------------- --------- -- ------------ --
在上面的示例中,我们将 fastify-jwt 插件注册到 Fastify 应用程序中,并指定了一个密钥用于签名 JWT。现在我们可以使用 fastify.jwt.sign 和 fastify.jwt.verify 方法来创建和验证 JWT。
创建 JWT
要创建 JWT,我们可以使用 fastify.jwt.sign 方法:
const token = fastify.jwt.sign({ payload }, { expiresIn })其中,payload 是要传输的信息,expiresIn 是 JWT 的有效期。例如:
const token = fastify.jwt.sign({ username: 'john' }, { expiresIn: '1h' })这将生成一个 JWT,其中载荷包含了 username 属性,并且该 JWT 在一小时后过期。
验证 JWT
要验证 JWT,我们可以使用 fastify.jwt.verify 方法:
const decoded = await fastify.jwt.verify(token)
如果 JWT 未过期且签名有效,则返回 JWT 载荷的解码值。如果 JWT 无效,则抛出一个错误。例如:
try {
const decoded = await fastify.jwt.verify(token)
} catch (err) {
console.error(err)
}自定义选项
fastify-jwt 插件提供了许多自定义选项,例如:
secret:用于签名 JWT 的密钥。cookie:指定要使用的 cookie 名称。signed:指定 cookie 是否应该被签名。verify:指定一个自定义验证函数,用于验证 JWT 的有效性。
例如,我们可以使用以下选项来自定义 fastify-jwt 插件:
fastify.register(require('fastify-jwt'), {
secret: 'supersecret',
cookie: 'jwt',
signed: true,
verify: async (request, decoded) => {
// 自定义验证逻辑
}
})示例
下面是一个完整的 Fastify 应用程序,它使用 fastify-jwt 插件来实现 JWT 身份认证:
-- -------------------- ---- -------
----- ------- - --------------------
---------------------------------------- -
------- --------------
------- ------
------- ----
--
---------------------- ----- --------- ------ -- -
----- - --------- -------- - - ------------
-- --------
----- ----- - ------------------ -------- -- - ---------- ---- --
---------------------- ------ -
----- ----
--------- -----
------- ----
--
------------ -------- ------ --
--
----------------------- ----- --------- ------ -- -
--- -
----- ----- - -----------------------------------------
----- ------- - ----- -------------------------------
------------ -------- --- --------------------- --
- ----- ----- -
------------ -------- ------ --
-
--
-------------------- ----- -------- -- -
-- ----- ----- ---
------------------- --------- -- ------------
--在上面的示例中,我们创建了一个 /login 路由,用于验证用户名和密码并生成 JWT。我们使用 fastify.jwt.sign 方法生成 JWT,并将其存储在名为 jwt 的 cookie 中。
我们还创建了一个 /profile 路由,用于验证 JWT 并返回用户的个人资料。我们使用 request.unsignCookie 方法解码 JWT,并使用 fastify.jwt.verify 方法验证 JWT 的有效性。如果 JWT 无效,则返回一个错误响应。
总结
在本文中,我们介绍了 JWT 身份认证的基础知识,并展示了如何使用 fastify-jwt 插件在 Fastify 中实现 JWT 身份认证。我们还提供了示例代码,帮助读者理解如何将其应用于实际项目中。通过学习本文,读者可以了解如何使用 Fastify 实现身份认证,并提高 Web 应用程序的安全性。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6558e6dfd2f5e1655d345201