Hapi.js 和 JWT：身份验证和授权-JavaScript中文网-JavaScript教程资源分享门户

在构建现代 Web 应用程序中，保护用户数据是至关重要的。身份验证和授权是实现此目的的两个关键概念，其中 JWT（JSON Web Token）是一种受欢迎的身份验证解决方案。Hapi.js 是一个流行的 Node.js 框架，它提供了一种简单的方法来实现 JWT 身份验证和授权。本文将向您介绍如何在 Hapi.js 应用程序中实现 JWT 身份验证和授权。

什么是 JWT？

JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式来传输信息，尤其是在网络上。 JWT 可以传输任何类型的信息，并且可以使用 HMAC 算法或 RSA 公钥/私钥对其进行签名。生成 JWT 的流程如下：

在 JWT 中，有三个部分：头部、有效载荷和签名。头部包含了 JWT 的元数据，比如使用的算法；有效载荷包含了 JWT 所传输的数据；签名是对头部和有效载荷的签名，确保信息不被篡改。

JWT 可以用于身份验证和授权。当用户登录系统时，服务器会生成一个 JWT 并将其发送到客户端。之后，客户端将 JWT 添加到每个后续请求的请求头中。服务器将 JWT 验证后，便可以确定用户是否有权访问请求的资源。

什么是 Hapi.js？

Hapi.js 是一个 Node.js 框架，它提供了一种简单的方法来构建 Web 应用程序和服务。 Hapi.js 的核心是插件系统，在开发应用程序时，可以通过加载插件来扩展功能，比如路由、认证、缓存等等。

在 Hapi.js 中实现 JWT 身份验证和授权

首先需要安装 hapi-auth-jwt2 插件：

npm install hapi-auth-jwt2

定义插件并添加到服务器

在 Hapi.js 中，可以定义插件来扩展服务器功能。下面是一个基本的插件，它使用 hapi-auth-jwt2 实现 JWT 身份验证和授权：

-- -------------------- ---- -------
----- ------- - -------------------------- -- ----

----- ------ - -
  ----- ------------------
  --------- -------- -------- -------- -
    -------------------------
 
    -- ------
    --------------------------- ------ - 
      ---- ------------ 
      --------- ---------
      -------------- -
        ----------- ---------
      -
    ---

    -- -------------
    --------------
      ------- ------
      ----- ---------------
      -------- -
        ----- ------ -- -------
        -------- -------- --------- -- -
          ------ -------
        -
      -
    ---
  -
--

----- -------- - -------- --------- -------- -- -
  -- ----------------------
  ------ --------- ------
--

-------------- - -------

这个插件包含了一个 validate 函数和一个添加了身份验证的路由。validate 函数是在 JWT 被解析和验证后被调用的。它可以用来验证 JWT 包含的信息是否是有效的。在路由中，使用了 auth 参数来指定使用的策略类型为 jwt。

在路由中使用 JWT 身份验证和授权

在定义路由时，可以使用 auth 参数来指定在路由上使用的授权策略。下面是一个示例：

-- -------------------- ---- -------
--------------
    ------- ------
    ----- ---------------
    -------- -
        ----- ------
        -------- -------- --------- -- -
            ------ -------
        --
    --
---

上面的示例中，/api/private 路由只能被已经通过身份验证的用户访问。

在身份验证时添加额外信息

通过 Hapi.js 中的 onRequest 钩子，可以在身份验证时添加一些额外的信息。下面是一个示例：

-- -------------------- ---- -------
--------------------------- ------ -
  ---- ------------
  --------- --------- -- -
    ------ --------- ----- ------------ -------- ----------------- -- ------ -------
  --
  -------------- -
    ----------- ----------
  --
---

----------------------- --------- -- -- -
  ------------------------------- -- ------ -------------
  ------ -----------
---

在 validate 函数中，将 userId 保存到凭证中。通过 onRequest 钩子，可以轻松访问这些凭证。

总结

Hapi.js 和 JWT 是现代 Web 应用程序中必不可少的技术。在本文中，我们介绍了如何在 Hapi.js 中实现 JWT 身份验证和授权，并提供了示例代码。通过使用 JWT，我们可以轻松地保护敏感数据并防止未经授权的访问。 Hapi.js 的插件系统使得整个过程变得更加简单和高效。开发者们应该要学习和掌握这些技术，以便更好地保护用户数据和提供更好的用户体验。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/6594ffdceb4cecbf2d94289c