Node.js 中使用 JWT 进行基于角色的权限管理实现方法

在 Web 应用程序中，权限管理是非常重要的一个部分。通过对用户的权限进行控制，可以保证系统的安全性和数据的完整性。而基于角色的权限管理是一种比较常见的方式，可以将用户分为不同的角色，并为每个角色分配不同的权限。

在 Node.js 中，我们可以使用 JSON Web Token（JWT）来实现基于角色的权限管理。JWT 是一种用于认证和授权的开放标准，可以在各种应用程序中进行跨域身份验证和授权。

JWT 简介

JWT 由三部分组成：头部、载荷和签名。头部包含算法和令牌类型信息，载荷包含用户信息和其他元数据，签名是用于验证令牌的数字签名。

JWT 的生成过程如下：

1. 服务器使用密钥将头部和载荷组合成一个字符串。
2. 服务器使用指定的算法对字符串进行签名，生成签名。
3. 服务器将头部、载荷和签名组合成一个 JWT，返回给客户端。

客户端使用 JWT 进行身份验证和授权的过程如下：

1. 客户端在请求头中添加 Authorization 字段，值为 Bearer + JWT。
2. 服务器接收到请求后，从 Authorization 字段中提取 JWT。
3. 服务器使用密钥验证 JWT 的签名是否正确，并解码 JWT 中的载荷信息。
4. 服务器根据载荷信息判断用户是否有权限访问资源，并返回相应的结果。

基于角色的权限管理

在基于角色的权限管理中，我们将用户分为不同的角色，每个角色拥有不同的权限。例如，管理员可以访问所有资源，而普通用户只能访问部分资源。

在 Node.js 中，我们可以使用 JWT 和中间件来实现基于角色的权限管理。具体实现如下：

1. 定义角色和权限

首先，我们需要定义角色和权限。可以将角色定义为一个对象，包含角色名称和角色拥有的权限。例如：

const roles = {
  admin: ['read', 'write', 'delete'],
  user: ['read']
}

上面的代码定义了两个角色：管理员和普通用户。管理员拥有读、写和删除的权限，而普通用户只有读的权限。

1. 生成 JWT

在用户登录时，服务器需要生成一个 JWT 并返回给客户端。可以使用 jsonwebtoken 模块来生成 JWT。例如：

const jwt = require('jsonwebtoken')

// 生成 JWT
const token = jwt.sign({ role: 'admin' }, 'secret', { expiresIn: '1h' })

上面的代码生成了一个包含角色信息的 JWT，并设置了过期时间为 1 小时。

1. 验证 JWT

在客户端请求资源时，服务器需要验证 JWT 的有效性并判断用户是否有权限访问资源。可以使用 jsonwebtoken 模块来验证 JWT。例如：

// javascriptcn.com 代码示例
const jwt = require('jsonwebtoken')

// 验证 JWT
const authMiddleware = (req, res, next) => {
  const token = req.headers.authorization?.split(' ')[1]

  if (!token) {
    return res.status(401).json({ message: 'Unauthorized' })
  }

  try {
    const decoded = jwt.verify(token, 'secret')
    const { role } = decoded

    if (!roles[role]) {
      return res.status(401).json({ message: 'Unauthorized' })
    }

    req.role = role
    next()
  } catch (error) {
    return res.status(401).json({ message: 'Unauthorized' })
  }
}

上面的代码定义了一个中间件，用于验证 JWT 的有效性并判断用户是否有权限访问资源。首先，从请求头中提取 JWT，并解码 JWT 中的载荷信息。然后，根据载荷信息获取用户的角色，并判断角色是否存在。如果角色不存在，则表示用户没有权限访问资源，返回 401 状态码。如果角色存在，则将角色信息保存在请求对象中，并调用下一个中间件。

1. 检查权限

在访问受限资源时，服务器需要检查用户的权限是否符合要求。可以在路由中使用中间件来检查权限。例如：

// javascriptcn.com 代码示例
// 检查权限
const checkPermissionMiddleware = (req, res, next) => {
  const { role } = req
  const { permission } = req.params

  if (!roles[role].includes(permission)) {
    return res.status(403).json({ message: 'Forbidden' })
  }

  next()
}

// 定义路由
app.get('/api/:permission', authMiddleware, checkPermissionMiddleware, (req, res) => {
  res.json({ message: 'Hello, World!' })
})

上面的代码定义了一个路由，用于访问受限资源。首先，使用 authMiddleware 中间件验证 JWT 的有效性并获取用户的角色信息。然后，使用 checkPermissionMiddleware 中间件检查用户的权限是否符合要求。如果权限不足，则返回 403 状态码。如果权限符合要求，则返回资源内容。

总结

通过以上的实现，我们可以轻松地在 Node.js 中实现基于角色的权限管理。使用 JWT 和中间件，可以有效地保护 Web 应用程序的安全性和数据的完整性。同时，也可以为开发者提供一种简单、高效的权限管理方式。

来源：JavaScript中文网 ，转载请注明来源 本文地址：https://www.javascriptcn.com/post/65649b46d2f5e1655de09096