基于 Hapi 实现 JWT 身份验证

阅读时长 4 分钟读完

什么是 JWT?

JWT 是一种用于身份验证的标准,它使用 JSON 对象作为载荷传输信息。JWT 包含了头部信息、载荷和签名等部分,可以用于实现基于令牌的身份验证。

JWT 的优点包括:

  • 简单,易于实现
  • 可以在不同服务之间共享身份认证信息
  • 可以在 token 中存储更多的信息

Hapi 框架介绍

Hapi 是一种用于 Node.js 的轻量级 Web 框架,它可以帮助开发者构建高效的 Web 应用程序。Hapi 的主要特点包括:

  • 插件化的架构,方便扩展和维护
  • 简单的路由和处理器定义
  • 高性能和安全性
  • 内置的缓存、认证和错误处理功能

实现基于 JWT 的身份验证

在 Hapi 中实现基于 JWT 的身份验证可以分为两部分,一部分是用户登录时生成一个 JWT 并发送给客户端,另一部分是客户端将 JWT 附在 HTTP 请求的头部中发送到服务器端,服务器端验证 JWT 的有效性并返回相应的响应。

用户登录生成 JWT

实现用户登录生成 JWT,需要使用 jsonwebtoken 库来生成 JWT,代码如下:

其中 payload 是一个 JSON 对象,可以包含用户 ID、用户名等信息,secret 是一个用于签名的字符串,options 是一个包含 JWT 的过期时间等选项的配置对象。

一般来说,登录成功后生成的 JWT 可以存储在客户端的 cookie 或 localStorage 中,以便后续使用。

验证 JWT

实现 JWT 验证需要创建一个 Hapi 插件,代码如下:

-- -------------------- ---- -------
----- --- - ------------------------

-------------- - -
  ----- -----------
  --------- -------- -------- -- -
    ------------------------- -------- -------- -- -
      ------ -
        ------------- ----- --------- -- -- -
          --- -
            ----- ----- - -----------------------------
            ----- ------- - ----------------- ----------------
            ----- ---- - ----- ------------------------------------
            ------ ----------------- ------------ ---- ---
          - ----- ------- -
            ------ -------------------------
          -
        --
      --
    ---

    ------------------------------------ ------ -
      ------- ---------------
    ---

    ------------------------------------
  --
--

在这段代码中,我们定义了一个 Hapi 插件,它提供了一个名为 jwt-auth 的身份验证策略,以及一个名为 jwt-strategy 的身份验证策略实例。在 authenticate 方法中,我们可以获取请求头部中的 JWT,并使用 jsonwebtoken 库来验证 JWT 的有效性和解密 JWT 中的信息。

当 JWT 有效且解密成功时,我们可以从数据库中获取关于该用户的信息,这些信息将作为验证成功的证书传递给 Hapi 的路由处理器。

最后,我们将 jwt-strategy 赋值为默认身份验证策略,以便在没有明确指定身份验证策略时使用默认身份验证策略。

在路由处理器中,我们可以使用 Hapi 的 auth 插件来验证用户的身份:

-- -------------------- ---- -------
--------------
  ------- ------
  ----- -----------
  -------- --------- -- -- -
    ----- ---- - -------------------------
    ------ -------- -- ---- -------- - - --------------
  --
  ------- -
    ----- ---------------
  --
---

在这段代码中,我们使用 auth 插件将 jwt-strategy 身份验证策略应用于 /profile 路由处理器,只有具有有效 JWT 的用户才能访问该路由处理器。

总结

本文介绍了基于 Hapi 实现 JWT 身份验证的方法,包括生成 JWT 和验证 JWT。通过使用 Hapi 插件,我们可以更轻松地实现身份验证,并让应用程序更加安全和高效。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/664a5e0ad3423812e494ca73

纠错
反馈