如何在 Node.js 中使用 JWT 和 Hapi.js 进行身份验证?

阅读时长 7 分钟读完

介绍

在前端开发中,我们经常需要使用身份验证功能,以确保用户能够访问其具备权限的内容或功能。JSON Web Token (JWT) 是一种轻量级的身份验证方式,适用于前端和后端应用程序。

Hapi.js 是一个基于 Node.js 的强大的 Web 框架,提供了一组高效的工具和插件,用于构建网络应用程序的路由、验证、流量控制和 API 管理等功能。

在本文中,我们将探讨如何在 Node.js 中使用 JWT 和 Hapi.js 进行身份验证,以确保用户能够安全地使用您的 Web 应用程序。我们将学习使用 JWT 创建和解析 token,以及 Hapi.js 的 authentication 和 authorization 插件,以及如何在代码中使用它们。

环境准备

在本文中,我们将使用 Node.js 和 npm(Node Package Manager)安装依赖项。因此,在开始之前,请确保您的计算机上已安装了以下软件:

  • Node.js:请使用官方网站提供的最新版本。
  • npm:与 Node.js 一起自动安装。

安装和配置 Hapi.js

在开始之前,我们需要确保已经安装了 Hapi.js 和所有必需的插件。您可以使用 npm 在命令行中输入以下命令来安装这些软件:

  • hapi 是 Hapi.js 的核心库,提供了主要的框架功能。
  • joi 提供了强大的验证功能。
  • hapi-auth-jwt2 是 Hapi.js 的插件,专门用于 JWT 验证。

创建 JWT

创建 JWT 主要包含两个过程:签名和编码。在签名阶段,我们使用私钥或密钥对 token 进行签名,以确保 token 是安全的。在编码阶段,我们使用 Base64 编码将 token 编码。这使得 token 可以在 Web 应用程序中传输,并防止对其进行篡改。

在 node.js 中,我们可以使用 jsonwebtoken 库来创建和解析 JWT。请首先在命令行中输入以下命令来安装该库:

现在,让我们开始创建我们的 JWT:

在此示例中,我们使用 jsonwebtoken 库创建了一个 token,其中包含了一个包含用户名和角色信息的对象。我们还提供了一个私钥,用于签名 token,并指定用于签名的算法(HS256)。

接下来,我们使用库提供的 sign() 方法创建 token,并将该 token 打印在控制台中。

解析 JWT

概述

一旦将 JWT 发送给客户端,我们需要能够确保客户端能够以安全的方式对其进行解析。

在 Hapi.js 中,我们可以使用 hapi-auth-jwt2 插件来轻松验证 JWT。该插件可以通过向服务器添加验证策略来验证 JWT。Hasura JWT auth 中也介绍了 Hapi.js 的使用:https://hasura.io/docs/1.0/graphql/auth/jwt.html

配置

让我们首先设置 Hapi.js 服务器并使用“hapi-auth-jwt2”插件验证 JWT。

-- -------------------- ---- -------
----- ---- - ----------------
----- --- - ------------------------
----- --- - ---------------

-- ------ ------
----- ------ - --- ------------- ----- ---- ---

-- ------ ------ ---
----- -------------- - ---------------

-- --- --------
------------------------------------------ -------- ----- -
    -- ----- ------- ----- ---------- --- -------- -- -- ----------
    -- ----- -
        -----------------
    -

    -- ------ -------- --------
    ----- -------- - ----- -------- --------- -------- -- -
        --------------------- -------- ---------

        -- ------- --- ---- ---- --- ------- --- -----
        ----- ---- - --------

        -- ------- -
            ------ - -------- ----- --
        -

        ------ - -------- ---- --
    --

    --------------------------- ------ -
        ---- ---------------
        --------- ---------
        -------------- -
            ----------- ---------
        -
    ---

    -- ---- ----- --------- --- --- ------
    ---------------------------
---

在此示例中,我们首先创建了一个 Hapi.js 服务器,并定义了一个私钥。接下来,我们注册了 hapi-auth-jwt2 插件,并使用该插件中提供的 jwt 策略来验证 JWT。

我们还定义了 validate() 函数,该函数用于提取 JWT 的 payload,并根据 payload 中提供的用户信息来验证用户是否已经通过身份验证。如果用户已通过身份验证,则 validate() 函数将返回一个对象,其中 isValid 属性被设置为 true。否则,它将返回一个 isValid 属性设置为 false 的对象。

最后,我们定义了一个 jwt 类型的策略,并将该策略应用于所有路由。这意味着,在任何路由请求到达服务器之前,都将执行 JWT 验证。

使用

现在您已经设置了 JWT 验证策略和 Hapi.js 服务器,您可以在代码中轻松使用该策略。要想对某个路由进行 JWT 验证,您只需在路由配置中添加 auth: 'jwt' 选项。如下所示:

-- -------------------- ---- -------
----- ------------ - -
    ------- ------
    ----- ------------
    -------- -------- --------- -- -
        ------ - ----------- ------ -------- ----- -------------- --
    --
    -------- -
        ----- ------
    -
 --

 ---------------------------

在此示例中,我们定义了一个名称为 /api/user 的路由,并将该路由配置为需要进行 JWT 验证。如果用户未通过验证,则请求将被拒绝。如果用户已通过验证,则将继续执行该请求,并响应一个包含成功消息的对象。

结论

在本文中,我们探讨了如何在 Node.js 中使用 JWT 和 Hapi.js 进行身份验证。我们学习了如何创建和解析 JWT,以及如何在 Hapi.js 中使用 hapi-auth-jwt2 插件进行身份验证。

使用 JWT 进行身份验证是前端开发中极其重要的一环,它可以帮助我们保持 Web 应用程序的安全性,同时使您的用户感到安心。我们强烈推荐您使用 JWT 来确保您的 Web 应用程序的安全性。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/67086e47d91dce0dc87105bc

纠错
反馈