随着 Web 应用的发展,身份认证和权限控制成为了 Web 开发中不可或缺的一部分。本文将介绍如何使用 Koa 和 JSON Web Token(JWT)实现身份认证和权限控制。
什么是 JWT?
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证和授权。
JWT 由三部分组成:头部、载荷和签名。头部通常包含加密算法和类型信息。载荷包含要传输的信息,例如用户 ID 和过期时间。签名是使用私钥对头部和载荷进行加密后的结果。
Koa 和 JWT
Koa 是一个 Node.js 的 Web 框架,它提供了一组简单而强大的 API,用于构建 Web 应用。Koa 的中间件机制允许开发者在请求和响应之间添加自定义的功能。
Koa 和 JWT 的结合可以提供一种简单而安全的身份认证和权限控制方案。
实现步骤
1. 安装依赖
我们需要使用以下依赖:koa、koa-router、jsonwebtoken。
npm install koa koa-router jsonwebtoken
2. 创建路由
我们创建一个简单的路由,包含登录和获取用户信息两个接口。
const Koa = require('koa');
const Router = require('koa-router');
const app = new Koa();
const router = new Router();
router.post('/login', async (ctx) => {
// 登录逻辑
});
router.get('/user', async (ctx) => {
// 获取用户信息逻辑
});
app.use(router.routes());
app.use(router.allowedMethods());
app.listen(3000);3. 实现登录接口
在登录接口中,我们需要验证用户的用户名和密码,并返回一个 JWT。以下是一个简单的实现。
const jwt = require('jsonwebtoken');
router.post('/login', async (ctx) => {
const { username, password } = ctx.request.body;
// 验证用户名和密码
if (username === 'admin' && password === '123456') {
// 生成 JWT
const token = jwt.sign({ username }, 'my_secret_key', { expiresIn: '1h' });
ctx.body = { token };
} else {
ctx.status = 401;
ctx.body = { message: '用户名或密码错误' };
}
});在上面的代码中,我们使用 jsonwebtoken 的 sign 方法生成 JWT。其中,{ username } 是要传输的信息,my_secret_key 是用于加密的私钥,{ expiresIn: '1h' } 表示 JWT 的过期时间为 1 小时。
4. 实现权限控制中间件
我们定义一个中间件,用于验证 JWT 的有效性和用户权限。以下是一个简单的实现。
const verifyToken = async (ctx, next) => {
const token = ctx.headers.authorization;
if (!token) {
ctx.status = 401;
ctx.body = { message: '未授权访问' };
return;
}
try {
const decoded = jwt.verify(token.replace('Bearer ', ''), 'my_secret_key');
ctx.state.user = decoded;
await next();
} catch (err) {
ctx.status = 401;
ctx.body = { message: '无效的授权信息' };
}
};在上面的代码中,我们使用 jsonwebtoken 的 verify 方法验证 JWT 的有效性,并将解码后的信息存储在 ctx.state.user 中。如果验证失败,则返回 401 状态码和错误信息。
5. 实现获取用户信息接口
在获取用户信息接口中,我们使用中间件验证 JWT 的有效性和用户权限,并返回用户信息。以下是一个简单的实现。
router.get('/user', verifyToken, async (ctx) => {
const { username } = ctx.state.user;
ctx.body = { username };
});在上面的代码中,我们使用 verifyToken 中间件验证 JWT 的有效性和用户权限。如果验证通过,则返回用户信息。
示例代码
完整的示例代码如下。
const Koa = require('koa');
const Router = require('koa-router');
const jwt = require('jsonwebtoken');
const app = new Koa();
const router = new Router();
// 定义中间件,用于验证 JWT 的有效性和用户权限
const verifyToken = async (ctx, next) => {
const token = ctx.headers.authorization;
if (!token) {
ctx.status = 401;
ctx.body = { message: '未授权访问' };
return;
}
try {
const decoded = jwt.verify(token.replace('Bearer ', ''), 'my_secret_key');
ctx.state.user = decoded;
await next();
} catch (err) {
ctx.status = 401;
ctx.body = { message: '无效的授权信息' };
}
};
// 定义登录接口
router.post('/login', async (ctx) => {
const { username, password } = ctx.request.body;
// 验证用户名和密码
if (username === 'admin' && password === '123456') {
// 生成 JWT
const token = jwt.sign({ username }, 'my_secret_key', { expiresIn: '1h' });
ctx.body = { token };
} else {
ctx.status = 401;
ctx.body = { message: '用户名或密码错误' };
}
});
// 定义获取用户信息接口
router.get('/user', verifyToken, async (ctx) => {
const { username } = ctx.state.user;
ctx.body = { username };
});
app.use(router.routes());
app.use(router.allowedMethods());
app.listen(3000);总结
本文介绍了如何使用 Koa 和 JSON Web Token(JWT)实现身份认证和权限控制。通过 JWT,我们可以实现简单而安全的身份验证和授权,保护 Web 应用的安全性。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/65c2f286add4f0e0ffcecd4c