介绍
在前端开发中,我们经常需要使用身份验证功能,以确保用户能够访问其具备权限的内容或功能。JSON Web Token (JWT) 是一种轻量级的身份验证方式,适用于前端和后端应用程序。
Hapi.js 是一个基于 Node.js 的强大的 Web 框架,提供了一组高效的工具和插件,用于构建网络应用程序的路由、验证、流量控制和 API 管理等功能。
在本文中,我们将探讨如何在 Node.js 中使用 JWT 和 Hapi.js 进行身份验证,以确保用户能够安全地使用您的 Web 应用程序。我们将学习使用 JWT 创建和解析 token,以及 Hapi.js 的 authentication 和 authorization 插件,以及如何在代码中使用它们。
环境准备
在本文中,我们将使用 Node.js 和 npm(Node Package Manager)安装依赖项。因此,在开始之前,请确保您的计算机上已安装了以下软件:
- Node.js:请使用官方网站提供的最新版本。
- npm:与 Node.js 一起自动安装。
安装和配置 Hapi.js
在开始之前,我们需要确保已经安装了 Hapi.js 和所有必需的插件。您可以使用 npm 在命令行中输入以下命令来安装这些软件:
npm install hapi joi hapi-auth-jwt2
- hapi 是 Hapi.js 的核心库,提供了主要的框架功能。
- joi 提供了强大的验证功能。
- hapi-auth-jwt2 是 Hapi.js 的插件,专门用于 JWT 验证。
创建 JWT
创建 JWT 主要包含两个过程:签名和编码。在签名阶段,我们使用私钥或密钥对 token 进行签名,以确保 token 是安全的。在编码阶段,我们使用 Base64 编码将 token 编码。这使得 token 可以在 Web 应用程序中传输,并防止对其进行篡改。
在 node.js 中,我们可以使用 jsonwebtoken 库来创建和解析 JWT。请首先在命令行中输入以下命令来安装该库:
npm install jsonwebtoken
现在,让我们开始创建我们的 JWT:
const jwt = require('jsonwebtoken'); const privateKey = 'myPrivateKey'; let token = jwt.sign({ username: 'user1', role: 'admin' }, privateKey, { algorithm: 'HS256' }); console.log(token);
在此示例中,我们使用 jsonwebtoken 库创建了一个 token,其中包含了一个包含用户名和角色信息的对象。我们还提供了一个私钥,用于签名 token,并指定用于签名的算法(HS256)。
接下来,我们使用库提供的 sign() 方法创建 token,并将该 token 打印在控制台中。
解析 JWT
概述
一旦将 JWT 发送给客户端,我们需要能够确保客户端能够以安全的方式对其进行解析。
在 Hapi.js 中,我们可以使用 hapi-auth-jwt2 插件来轻松验证 JWT。该插件可以通过向服务器添加验证策略来验证 JWT。Hasura JWT auth 中也介绍了 Hapi.js 的使用:https://hasura.io/docs/1.0/graphql/auth/jwt.html
配置
让我们首先设置 Hapi.js 服务器并使用“hapi-auth-jwt2”插件验证 JWT。
-- -------------------- ---- ------- ----- ---- - ---------------- ----- --- - ------------------------ ----- --- - --------------- -- ------ ------ ----- ------ - --- ------------- ----- ---- --- -- ------ ------ --- ----- -------------- - --------------- -- --- -------- ------------------------------------------ -------- ----- - -- ----- ------- ----- ---------- --- -------- -- -- ---------- -- ----- - ----------------- - -- ------ -------- -------- ----- -------- - ----- -------- --------- -------- -- - --------------------- -------- --------- -- ------- --- ---- ---- --- ------- --- ----- ----- ---- - -------- -- ------- - ------ - -------- ----- -- - ------ - -------- ---- -- -- --------------------------- ------ - ---- --------------- --------- --------- -------------- - ----------- --------- - --- -- ---- ----- --------- --- --- ------ --------------------------- ---
在此示例中,我们首先创建了一个 Hapi.js 服务器,并定义了一个私钥。接下来,我们注册了 hapi-auth-jwt2 插件,并使用该插件中提供的 jwt 策略来验证 JWT。
我们还定义了 validate() 函数,该函数用于提取 JWT 的 payload,并根据 payload 中提供的用户信息来验证用户是否已经通过身份验证。如果用户已通过身份验证,则 validate() 函数将返回一个对象,其中 isValid 属性被设置为 true。否则,它将返回一个 isValid 属性设置为 false 的对象。
最后,我们定义了一个 jwt 类型的策略,并将该策略应用于所有路由。这意味着,在任何路由请求到达服务器之前,都将执行 JWT 验证。
使用
现在您已经设置了 JWT 验证策略和 Hapi.js 服务器,您可以在代码中轻松使用该策略。要想对某个路由进行 JWT 验证,您只需在路由配置中添加 auth: 'jwt' 选项。如下所示:
-- -------------------- ---- ------- ----- ------------ - - ------- ------ ----- ------------ -------- -------- --------- -- - ------ - ----------- ------ -------- ----- -------------- -- -- -------- - ----- ------ - -- ---------------------------
在此示例中,我们定义了一个名称为 /api/user 的路由,并将该路由配置为需要进行 JWT 验证。如果用户未通过验证,则请求将被拒绝。如果用户已通过验证,则将继续执行该请求,并响应一个包含成功消息的对象。
结论
在本文中,我们探讨了如何在 Node.js 中使用 JWT 和 Hapi.js 进行身份验证。我们学习了如何创建和解析 JWT,以及如何在 Hapi.js 中使用 hapi-auth-jwt2 插件进行身份验证。
使用 JWT 进行身份验证是前端开发中极其重要的一环,它可以帮助我们保持 Web 应用程序的安全性,同时使您的用户感到安心。我们强烈推荐您使用 JWT 来确保您的 Web 应用程序的安全性。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/67086e47d91dce0dc87105bc