Hapi是一款快速、稳定和可扩展的Node.js Web框架,它为开发者提供了模块化和可重用的服务器端组件。Hapi框架极其适合创建复杂的Web应用程序,因为它内置了对多种保护身份验证和授权的支持。
在本文中,我们将探讨Hapi框架实现用户认证的方法,帮助读者了解如何在应用程序中成功地管理用户认证。
Hapi框架中的用户认证类型
Hapi框架提供了多种用户认证类型,这些用户认证类型可以根据应用程序的具体需求进行选择。
- cookie:通过Cookies在客户端和服务器端之间交换认证信息。
- token:通过JSON Web Tokens (JWTs)在客户端和服务器端之间交换认证信息。
- OAuth:通过OAuth协议在第三方服务提供商和客户端之间交换认证信息。
在本文中,我们将集中讨论“cookie”和“token”这两种认证类型。
基于cookie的用户认证
基于cookie的用户认证是一种客户端/服务器端之间基于HTTP状态管理的认证方式。Hapi中使用的是授权模块“hapi-auth-cookie”来实现基于cookie的用户认证。
配置 Hapi 授权模块
首先,我们需要在Hapi应用程序中安装hapi-auth-cookie授权模块。可以使用以下命令:
npm install hapi-auth-cookie --save
注册插件
接下来,在Hapi应用程序中注册hapi-auth-cookie插件。
-- -------------------- ---- ------- ----- ---- - ---------------------- ----- ------ - --- ------------- ----- ----- ----- ----------- --- ----- --------------------------------------------- ----------------
实现 Strategy
然后,我们需要定义一个认证策略。在此示例中,我们将称此为“cookie-auth”策略。
-- -------------------- ---- ------- ----- --------------------------------------------- -- -------- --- ----------------------------------- --------- - ------- - ----- -------------- --------- ----------------------------------- --------- ------ ---- -- - -- - -- - ---- -- - --- -------- -- ----------- --------- ----------- ----- ------------- ----- ------------- ----- --------- -------- -- - ----- ------ - ----- ----------------------- ----- --- - - ------ -------- -- -- ----------- - --------------- - --------------- - ------ ---- - ---
这里我们通过在 server.auth.strategy
中定义了一个名为 cookie-auth
的策略,指定了“cookie”认证类型。该策略将使用一个名为“auth-cookie”的cookie进行认证。
使用上面的策略代码,我们为cookie的认证类型添加了一个验证函数,在Hapi框架之内调用此函数来验证用户的登录凭证。在上面的示例代码中,该验证函数会检查会话中是否有某个缓存数据。如果会话存在,则函数将返回一个传递给Hapi的变量,该变量将存储在认证信息的“credentials”属性中。
路由保护
现在,您可以通过调用Hapi路由方法来保护您的Web应用程序的特定部分,以确保只有经过身份验证的用户才能访问它。
例如:我们可以定义一个名为“protected”的路由,该路由具有“cookie-auth”策略。
-- -------------------- ---- ------- ----- --------------------------------------------- -- -------- --- ----------------------------------- --------- - ------- - ----- -------------- --------- ----------------------------------- --------- ------ ---- -- - -- - -- - ---- -- - --- -------- -- ----------- --------- ----------- ----- ------------- ----- ------------- ----- --------- -------- -- - ----- ------ - ----- ----------------------- ----- --- - - ------ -------- -- -- ----------- - --------------- - --------------- - ------ ---- - --- -------------- - ------- ------ ----- ------------- ------- - ----- - ----- ----------- --------- ------------- -- -------- ----------------- -- - ------ ----- -- - --------- ------- - - - --
在上面的示例中,我们定义了一个名为“protected”的路由,使用auth
配置选项,指定需要“cookie-auth”策略来保护该路由的内容。现在,只有经过身份验证的访问者才可以访问受保护的页面。
基于token的用户认证
基于token的用户认证是一种使用JSON Web Tokens (JWTs)在客户端和服务器端之间交换认证信息的方法。她非常适合RESTful API、单页面应用程序或任何需要从前端发送请求的应用程序。
在Hapi框架中,使用授权模块hapi-auth-jwt2来实现基于token的用户认证。
配置 Hapi 授权模块
首先,我们需要在Hapi应用程序中安装hapi-auth-jwt2授权模块。可以使用以下命令:
npm install hapi-auth-jwt2 --save
注册插件
然后,在Hapi应用程序中注册hapi-auth-jwt2插件。
-- -------------------- ---- ------- ----- ---- - ---------------------- -- -- ----- ------------------------------------------- ------- ----- ---------- - ---------------------- ------- ----- ---------- - - ------- ----------- -------------- ----------- ---------- -- ---------- --------- ----- -------- --------- -------- -- - ------------- ------ - -------- ----- -- - ----- ------ - -------- ---- -- - - -- -- ------ --------------------------- ------ - ---- ----------- -- --- -------- ---- --------- ----- --------- -------- -- -- - -- ----- ----- ---- ------ - -------- ----- ------------ ------- - -- -------------- - ----------- --------- - -- -- ---
在上面的示例中,我们注册了一个名为“hapi-auth-jwt2”的授权插件,实现了“JWT”策略,并定义了密钥和选项。
我们还向授权插件提供了“validate”函数。此函数将接收已解码的Token和请求上下文,它将验证Token是否存在且未过期。
路由保护
现在,将下面的方法添加到需要Token认证访问的路由中,通过在路由定义中包含auth: 'jwt'
来标记需要受Token保护的路由:
-- -------------------- ---- ------- -------------- ------- ------ ----- --------- -------- - ----- ------ -------- --------- -- -- - ------ --------- - - ---
生成JWT
若要生成一个JWT JWT,用户在登录成功后,要在服务器端生成一个 token 并将其签发给客户端。
一般,服务器端需要包含jsonwebtoken
模块,并创建一个 sign
方法来生成token。
以下是一些生成JWT的示例代码:
- 签名使用了步后段的
JWT_SECRET
const jwt = require('jsonwebtoken'); const user = { username: 'john.doe' }; const token = jwt.sign(user, JWT_SECRET);
可选的选项:
algorithm
- 签名时使用的算法expiresIn
- token 过期时间(以秒为单位)
const jwt = require('jsonwebtoken'); const user = { username: 'john.doe' }; const options = { expiresIn: '2d', algorithm: 'HS256' }; const token = jwt.sign(user, JWT_SECRET, options);
- 字符串形式密钥
const jwt = require('jsonwebtoken'); const user = { username: 'john.doe' }; const options = { expiresIn: '2d', algorithm: 'HS256' }; const token = jwt.sign(user, 'your_jwt_secret_key', options);
- Token验证
在客户端收到 token 后,将其存储在本地并在每个后续请求中发送给服务器。 在收到Token后,服务器应该根据验证逻辑检查该Token。
以下是一些验证Token的示例代码:
-- -------------------- ---- ------- ----- --- - ------------------------ ----- -------- - ----- ----------------- ------- --- ------------ - ----- ---- ------------ - ----------------- ------------ - ----------- ----- ------------------------ -------- ------ ----- --------- - ------ --------- ---------------- -- --------------------------- ------ - ---- ---------------------- --------- --------- -------------- - ----------- --------- - ---
结论
在本文中,我们介绍了Hapi框架中实现用户认证的两种方法:基于cookie和基于token。 具体来说,我们使用了hapi-auth-cookie和hapi-auth-jwt2授权模块,为应用程序定义了认证策略,并使用路由来保护了需要认证的特定Web页面。
概括来说,Hapi框架为开发人员提供了强大和可扩展的身份验证和授权支持,有效地提高了Web应用程序的安全性和可靠性。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/672965392e7021665e245425