Hapi 应用中使用 jsonwebtoken 实现 token 认证-JavaScript中文网-JavaScript教程资源分享门户

在现代 web 应用程序中，用户身份验证和授权非常重要。JSON Web Tokens （JWT）是一种安全的身份验证方法，可以帮助保护 web 应用程序中的端点和资源。在本文中，我们将介绍如何在 Hapi 框架中使用 JWT 实现身份验证。

JSON Web Tokens

JSON Web Tokens 是一种轻量级且安全的身份验证方法，由三个分段构成：头部、有效负载和签名。JWT 的头部包含加密算法和类型信息，有效负载则存储用户相关的数据，例如 id、用户名等，签名用于验证 token 的合法性，同时也保障 token 不会被篡改。

JWT 非常适合在客户端（如 JavaScript 应用程序）和服务器之间传输信息。它们小巧，可与任何传输层协议（HTTP、UDP、WebSockets）一起使用，并且非常易于使用。

使用 Hapi 实现 JWT 认证

要在 Hapi 应用程序中使用 JWT 身份验证，我们需要安装 jsonwebtoken 和 hapi-auth-jwt2 两个依赖项。

首先，我们需要在我们应用程序的启动文件中引入依赖包。

-- -------------------- ---- -------
----- ---- - ----------------
----- --- - ------------------------
----- ------- - --------------------------

----- ------ - --- --------------
------------------- ----- ---- ---

------------------------ ----- -- -
  -- ----- -
    -------------------
  -
  -- ---
--

------------------ -- -
  -- ----- -
    -------------------
  -
  ------------------- ------- --- ---------------------
---

我们使用 server.register 方法注册 Hapi-JWT 插件，并提供我们自己的密钥。我们还需要实现一个策略并将其应用到我们的路由上。

-- -------------------- ---- -------
--------------------------- ------ -
  ---- -----------------------
  ------------- --------- ------------- --------- -- -
    -- -- ----------- ------------------
    -- ------------- -- ---------------- -
      -------------- ------
    - ---- -
      -------------- -------
    -
  -
---

---------------------------

-- ----
--------------
  ------- ------
  ----- ----
  -------- --------- ------ -- -
    ------------- ---------
  -
---

-- -------
--------------
  ------- ------
  ----- -------------
  ------- -
    ----- -
      ----------- --------
      ----- ----------
    -
  --
  -------- --------- ------ -- -
    ----- ---- - -------------------------
    ------------- --------------------
  -
---

在上面的示例中，我们创建了一个策略，并将其应用到 /protected 路由中。如果用户未经过身份验证，则该路由不可访问。如果用户通过身份验证，我们将从 request.auth.credentials 中提取用户信息，然后向用户发送一个欢迎消息。

为了生成 JWT，我们可以使用 jsonwebtoken 依赖项的 sign 方法。例如，以下代码可以生成一个包含一些用户数据的 token。

const token = jwt.sign({ id: 1, username: 'alice' }, 'NeverShareYourSecret');

在生产环境中，使用 JWT 来保护资源是非常重要的。在使用 JWT 时，请时刻牢记以下几点：

JWT 的默认签名算法是 HS256，但是这并不是唯一的签名算法。您可以使用任何安全的签名算法来生成 JWT。
在使用 JWT 时，请注意在 $_SESSION 或 $_COOKIE 上设置一个安全的 HTTPOnly 标志，以防止 XSS 和 CSRF 攻击。
JWT 仅允许用于加密轻量级数据，而不是用于加密大型数据，例如整个数据库。

结论

JWT 是一种安全的身份验证方法，可用于保护 web 应用程序中的资源。我们可以使用 Hapi-JWT 插件很容易地将 JWT 融入我们的应用程序中，并在路由上应用身份验证策略，以保护我们的资源不被未经授权的用户访问。希望这篇文章能对你的学习和工作有所帮助。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/674c51b5a336082f25405f84