手把手教你使用 Express.js 创建基于角色的访问控制

AI 编程助手,豆包旗下的编程助手,提供智能补全、智能预测、智能问答等能力,节省开发时间,释放脑海中的创造力,支持 VSCode,点击体验 AI

身份权限控制在 Web 开发中是一个非常重要的话题,特别是对于需要对特定功能进行权限管控和用户角色授予的系统和应用程序。在本文中,我们将介绍如何使用 Express.js 创建基于角色的访问控制以确保您的应用程序具有必要的安全措施。

基本概念

什么是角色访问控制(RBAC)?

角色访问控制 (Role-Based Access Control,RBAC) 是一种将权限授予到特定用户角色的系统安全方法。RBAC 基于用户所属的角色来控制用户权限,而不是将权限授予到单个用户本身。这种方法简化了系统管理,减少了犯错的可能性,还可以轻松地更改用户权限而不必更改个人帐户。

什么是 Express.js?

Express.js 是一个流行的 Web 框架,它建立在 Node.js 上,它的目标是快速进行 Web 应用程序和 API 的开发。Express.js 也是一个开源和灵活的框架,它提供了许多功能,例如路由、模板引擎和中间件等。

创建基于角色的访问控制

1. 安装必要的软件包

首先,我们需要安装必要的软件包。我们将使用 Express.js、bcrypt 和 jsonwebtoken。

打开终端,转到项目文件夹并使用以下命令安装这些软件包:

--- ------- ------- ------ ------------

2. 设置基本的路由和控制器

让我们设置一些基本的路由和控制器。

在您的项目文件夹中创建一个 app.js 文件并添加以下代码:

----- ------- - -------------------
----- --- - ----------

-- --
------------ ----- ---- -- -
  -------------- ---------- ---------------
---

-- ---
---------------- -- -- -
  ------------------- ---- --------
---

3. 添加身份验证路由

我们将创建一个身份验证路由,该路由将接受用户的用户名和密码并返回一个 JWT。

创建 auth.js 文件并添加以下代码:

----- ------- - -------------------
----- ------ - -----------------
----- ------ - ------------------
----- --- - ------------------------

-- ----
----- ----- - -
  -
    --------- --------
    --------- --------------------------------------------------------------
  --
  -
    --------- -------
    --------- --------------------------------------------------------------
  -
--

---------------- ----- ---- -- -
  ----- - --------- -------- - - ---------

  ----- ---- - ------------ -- ---------- --- ----------

  -- ------- -
    ------ ---------------------- -------- ----------- ---
  -

  ------------------------ -------------- ----- ------- -- -
    -- ----- -
      ------ ---------------------- -------- ------- ---
    -

    -- --------- -
      ------ ---------------------- -------- ----------- ---
    -

    ----- ----- - ---------- -------- -- -----------------
    ---------- ----- ---
  ---
---

-------------- - -------

我们在 auth.js 文件中模拟了两个用户账户,但在实际应用中,用户信息通常保存在数据库或其他存储中。此路由将从请求体中读取用户名和密码,并将其与模拟的用户信息进行比较。如果身份验证成功,则使用该用户名创建 JWT 并将其发送回客户端。

4. 添加受保护的路由

现在我们将创建一个受保护的路由,该路由将检查客户端请求中是否包含 JWT,然后使用该令牌验证用户是否有权访问该路由。如果 JWT 不存在或无效,则返回 401。

创建受保护的路由并添加以下代码:

----- ------- - -------------------
----- ------ - -----------------
----- --- - ------------------------

-- ----
----- ----------- - -
  ------ -------- -------- ----------
  ----- --------
--

--------------- ----- ---- -- -
  ----- ----- - --------------------------

  -- -------- -
    ------ ---------------------- -------- ------------ ---
  -

  ----------------- ---------------- ----- ----- -- -
    -- ----- -
      ------ ---------------------- -------- ----------- ---
    -

    ----- - -------- - - -----

    -- ------------------------ -
      ------ ---------------------- -------- ----------- ---
    -

    ---------- -------- ----------- ---
  ---
---

-------------- - -------

5. 注册路由

现在,我们要将路由注册到应用程序中。

打开 app.js 文件并添加以下代码:

----- ------- - -------------------
----- --- - ----------

-- ----
----- ---------- - ------------------
----- ------------ - --------------------

-- ----
------------------------ -- -- ---- --
---------------- ------------ -- ------
------------------ -------------- -- ------

-- ---
---------------- -- -- -
  ------------------- ---- --------
---

我们创建了指向 auth.js 和 secure.js 文件的路由,并让 Express.js 应用程序使用这些路由。我们还添加了用于解析 POST 数据的中间件。

6. 运行应用程序

现在,我们的应用程序已经准备就绪。使用以下命令启动它:

---- ------

打开浏览器并转到 http://localhost:3000/。您将看到一条欢迎消息。

现在,我们需要验证身份并获得令牌。使用以下命令进行身份验证:

---- -------- -------------- ----------------- --------- ---- ------ -------------------------------------------- ---------------------------

您将看到以下响应:

-
  -------- -------------------------------------------------------------------------------------------------------------------------------------
-

这是您的 JWT。现在,我们将使用它来访问安全路由。使用以下命令进行此操作:

---- -------- --------------- ------ ------------------------------------------------------------------------------------------------------------------------------------ -----------------------------

您将看到以下响应:

-
  ---------- -----------
-

结论

在本文中,我们介绍了如何使用 Express.js 创建基于角色的访问控制。我们使用了模拟用户和权限来演示如何实现此功能。实际上,在生产环境中,您需要使用数据库或其他存储来存储用户和权限信息。此外,我们还介绍了身份验证和 JWT 的基本概念。希望这篇文章对您有所帮助,可以帮助您更好地了解如何实现在 Web 应用程序中重要的身份验证和权限管控。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/672889212e7021665e20955f

阅读全文

猜你喜欢

  • WebSocket 与 Socket.IO 的比较

    引言 随着 Web 技术的发展,越来越多的应用需要实时通信功能。传统的 HTTP 协议不能满足这个需求,因为它是一种无状态的协议,每次请求都需要重新建立连接。为了解决这个问题,WebSocket 和 ...

    4 天前
  • 使用 Jest 测试 React Native 通知的最佳实践

    介绍 在 React Native 中,通知(Notification)是一种非常常见的功能。但是,如何在编写 React Native 应用时测试通知功能呢?本文将介绍如何使用 Jest 测试 Re...

    4 天前
  • ECMAScript 2019:JavaScript 中的二进制数据操作

    在过去,JavaScript 一直被认为是一种文本处理语言。但随着技术的不断发展,越来越多的应用需要处理二进制数据。为了满足这种需求,ECMAScript 2019 引入了一种新的数据类型:Array...

    4 天前
  • Bootstrap 中无障碍性功能的介绍和使用技巧

    Bootstrap 是一个广泛使用的前端框架,它提供了许多有用的组件和功能,可以帮助开发者快速构建响应式网站。除此之外,Bootstrap 还提供了一些无障碍性功能,以确保所有用户都能够方便地访问和使...

    4 天前
  • Docker Registry 遇到的常见问题及解决方案

    Docker Registry 是一个用于存储和分发 Docker 镜像的开源镜像仓库。它可以让用户在不同的地方使用相同的镜像,方便开发和部署。然而,使用 Docker Registry 时可能会遇到...

    4 天前
  • 使用 Kubernetes 部署 WordPress 的最佳实践

    Kubernetes 是一个开源的容器编排平台,可以用于自动化部署、扩展和管理容器化应用程序。WordPress 是一个流行的开源内容管理系统,用于创建和管理网站和博客。

    4 天前
  • Redux 中间件模式实现详解

    前言 Redux 是一个流行的 JavaScript 应用程序状态管理库。它通过提供可预测的状态容器,使得应用程序的状态更加可控和易于维护。Redux 的核心是一个纯函数式的状态容器,但是它也提供了一...

    4 天前
  • Fastify 框架中如何处理 JSON Web Token 及 Refresh Token

    在前端开发中,JSON Web Token(JWT)和 Refresh Token 是常用的身份验证机制。Fastify 是一个快速、低开销、可扩展的 Node.js Web 框架,支持 JWT 和 ...

    4 天前
  • 解决 Mocha 测试跑不过去的问题 ——done 函数没调用

    Mocha 是一个流行的 JavaScript 测试框架,它可以帮助我们编写和运行测试用例。然而,在使用 Mocha 进行测试时,有时会出现 done 函数没调用的问题,导致测试无法通过。

    4 天前
  • Angular 4.4 升级策略、变动及新特性

    Angular 是一种流行的前端框架,它提供了一种强大的方式来构建动态 Web 应用程序。Angular 4.4 是 Angular 4.x 版本的最新更新,它引入了一些新的特性和变更,同时也带来了一...

    4 天前
  • 大规模预测:用 JVM 优化动态语言

    大规模预测:用 JVM 优化动态语言 随着互联网的发展,前端技术也变得越来越重要。前端开发人员需要面对许多挑战,其中之一就是如何提高代码的性能。在本文中,我们将讨论如何使用 JVM 来优化动态语言,从...

    4 天前
  • 使用 Chai 和 Sinon 测试 Koa.js

    在编写 Koa.js 应用程序时,测试是非常重要的一部分。测试可以确保代码的正确性,避免在生产环境中出现不必要的错误。在本文中,我们将介绍如何使用 Chai 和 Sinon 来测试 Koa.js 应用...

    4 天前
  • 使用 webpack 构建,为什么我引入的样式文件没有生效?

    在前端开发中,我们经常会用到 webpack 进行项目的构建。但是在使用 webpack 进行构建时,有时候会出现样式文件没有生效的情况,这是为什么呢? 原因 首先,我们需要了解 webpack 对于...

    4 天前
  • 如何在无障碍模式下实现表单验证功能

    在前端开发中,表单验证是一个常见的需求。但是,对于一些视觉障碍用户,常规的表单验证可能会带来一些困难。为了让网站能够更好地服务于所有用户,我们需要在无障碍模式下实现表单验证功能。

    4 天前
  • 如何解决 SPA 应用中的 SEO 优化问题

    随着前端技术的不断发展,单页应用(SPA)已经成为了越来越多的企业和个人选择的开发模式。SPA 应用的优点在于用户体验好,交互效果丰富,但是也存在一个严重的问题:SEO 优化。

    4 天前
  • 使用 Docker 优化 Ruby on Rails 应用程序性能的方法

    前言 随着 Ruby on Rails 应用程序的不断发展,其性能优化也变得越来越重要。在这方面,Docker 技术可以帮助我们优化应用程序的性能,从而提高应用程序的响应速度和稳定性。

    4 天前
  • Redux 如何实现时间旅行功能

    Redux 是一个流行的 JavaScript 应用程序状态管理库,它提供了一种可预测的状态管理模式,使得前端应用程序的状态管理更加简单和可维护。Redux 的核心思想是将应用程序的状态存储在一个单一...

    4 天前
  • MongoDB 中使用 $addToSet 操作实现去重的方法和注意事项

    介绍 MongoDB 是一个非关系型数据库,它以 JSON 格式存储数据,是一种强大的 NoSQL 数据库。在 MongoDB 中,$addToSet 操作可以实现对数组中元素的去重。

    4 天前
  • 在 Hapi 上安装 Swagger 文档生成器

    随着前端开发的不断发展,越来越多的开发者开始使用 Hapi,这是一个强大的 Node.js 框架。在开发 Hapi 应用程序时,文档是一个非常重要的部分。Swagger 是一个流行的文档生成器,可以帮...

    4 天前
  • Socket.io 中使用 happn 作为底层传输的实验题

    前言 在前端开发中,Socket.io 是一个非常常用的工具,它可以实现实时通信。而 happn 是一个基于 Node.js 的实时数据同步工具,它可以在不同的设备和应用程序之间同步数据。

    4 天前

相关推荐

    暂无文章