在现代的 Web 应用程序中,安全性是至关重要的。尤其是在前端开发领域,我们需要确保用户的信息和数据不会被未授权的人访问到。在这个背景下,JWT(JSON Web Token)成为了一种非常流行的身份验证方式。
在本文中,我们将介绍如何使用 Hapi.js 和 hapi-auth-jwt2 插件来实现 JWT 的身份验证功能。
什么是 JWT
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,用于在各方之间安全地传输信息。JWT 中包含了一些声明,这些声明可以被验证和信任。
JWT 通常被用作身份验证和授权的方式。在前端应用程序中,当用户登录后,服务器会生成一个 JWT 并将其发送给客户端。客户端将 JWT 存储在本地,每次向服务器发送请求时,都会将 JWT 作为身份验证的凭证一并发送。
hapi-auth-jwt2 插件
hapi-auth-jwt2 是一个 Hapi.js 的插件,它提供了 JWT 身份验证功能。它使用 jsonwebtoken 库来解析和验证 JWT。
在使用 hapi-auth-jwt2 之前,我们需要先安装它:
npm install hapi-auth-jwt2
实现 JWT 身份验证
现在,我们来看一下如何在 Hapi.js 中使用 hapi-auth-jwt2 插件来实现 JWT 身份验证。
1. 注册插件
首先,我们需要在 Hapi.js 中注册 hapi-auth-jwt2 插件:
// javascriptcn.com 代码示例
const Hapi = require('@hapi/hapi');
const HapiJwt = require('hapi-auth-jwt2');
const server = new Hapi.Server({
port: 3000,
host: 'localhost'
});
const validate = async (decoded, request) => {
// 在这里实现 JWT 的验证逻辑
};
const init = async () => {
await server.register(HapiJwt);
server.auth.strategy('jwt', 'jwt', {
key: 'my_secret_key',
validate: validate,
verifyOptions: { algorithms: ['HS256'] }
});
server.auth.default('jwt');
await server.start();
console.log('Server running on %s', server.info.uri);
};
process.on('unhandledRejection', (err) => {
console.log(err);
process.exit(1);
});
init();在上面的代码中,我们通过 server.register 方法来注册 hapi-auth-jwt2 插件。然后,我们通过 server.auth.strategy 方法来定义一个名为 "jwt" 的策略,该策略使用 JWT 身份验证。在 validate 函数中,我们可以实现 JWT 的验证逻辑。最后,我们通过 server.auth.default 方法将 "jwt" 策略设置为默认策略。
2. 生成 JWT
现在,我们来看一下如何在服务器端生成 JWT。我们可以使用 jsonwebtoken 库来生成 JWT:
const jwt = require('jsonwebtoken');
const user = { id: 1, name: 'John' };
const token = jwt.sign(user, 'my_secret_key', { expiresIn: '1h' });在上面的代码中,我们使用 jwt.sign 方法来生成 JWT。第一个参数是要加密的数据,第二个参数是加密密钥,第三个参数是 JWT 的有效时间。
3. 发送 JWT
现在,我们已经生成了 JWT,我们需要将其发送给客户端。在 Hapi.js 中,我们可以使用 h.state 方法将 JWT 存储在一个 cookie 中:
const token = jwt.sign(user, 'my_secret_key', { expiresIn: '1h' });
return h.response({ token }).state('jwt', token, {
isHttpOnly: true,
isSecure: true,
path: '/'
});在上面的代码中,我们使用 h.state 方法将 JWT 存储在一个名为 "jwt" 的 cookie 中。isHttpOnly 和 isSecure 参数可以确保 cookie 只能通过 HTTP 或 HTTPS 访问,并且不能被 JavaScript 访问。
4. 验证 JWT
现在,我们已经在服务器端生成了 JWT,并将其发送给客户端。客户端将 JWT 存储在本地,并在每次向服务器发送请求时,都将 JWT 作为身份验证的凭证一并发送。在服务器端,我们可以使用 request.auth.credentials 来访问 JWT 中的数据:
// javascriptcn.com 代码示例
const handler = (request, h) => {
const user = request.auth.credentials;
return { user };
};
server.route({
method: 'GET',
path: '/',
handler: handler,
options: {
auth: 'jwt'
}
});在上面的代码中,我们定义了一个路由处理程序,并使用 auth 选项将 "jwt" 策略应用于该路由。在处理程序中,我们可以使用 request.auth.credentials 来访问 JWT 中的数据。
总结
在本文中,我们介绍了如何使用 Hapi.js 和 hapi-auth-jwt2 插件来实现 JWT 身份验证功能。我们首先介绍了 JWT 的概念和用途,然后介绍了 hapi-auth-jwt2 插件的安装和使用方法。最后,我们通过示例代码演示了如何生成 JWT、发送 JWT 和验证 JWT。
JWT 身份验证是一种非常流行的身份验证方式,它可以在客户端和服务器端之间安全地传输信息。在实际开发中,我们应该根据具体的需求来选择最适合的身份验证方式。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/657cf5f6d2f5e1655d7bf8d3