Hapi.js 上实现权限控制的方法详解

在前端开发中，权限控制是一个经典的问题，如何让用户在使用应用期间，只能进行有限的操作，这种限制必须是基于用户的角色、职责等个人信息，这就是权限控制的基础。本文将详细介绍如何在 Hapi.js 中实现权限控制。

什么是 Hapi.js？

Hapi.js 是一个开源、强大的 Node.js 编写的应用程序框架，用于构建 RESTful API 或其他 Web 应用程序。它专注于提供高效、可靠的方法来处理 HTTP 交互，并提供了一套强大的工具和特性，以便优化开发工作流程。

实现权限控制的方法

实现权限控制的主要方法就是控制用户访问权限，当用户试图访问受限资源时，应用程序会拒绝或允许访问，这取决于用户的角色或权限。Hapi.js 提供了一种简单而灵活的方法来实现权限控制，即使用插件 hapi-auth-jwt2。

下面进行实现的步骤：

第一步：安装 hapi-auth-jwt2 插件

通过 npm 安装 hapi-auth-jwt2 插件。在你的应用程序中使用：

$ npm install hapi-auth-jwt2

第二步：配置策略

在 Hapi.js 中，安全策略是通过引入一个 authentication schema 来定义的。一个 schema 是指在特定时期内可用的一个或多个认证策略的列表。我们使用的策略具体取决于用户的请求。在这种情况下，我们需要定义一个 JSON Web Token（JWT）策略。在 server.js 文件中添加以下代码：

-- -------------------- ---- -------
----- ---- - ----------------
----- ---- - ----------------------
----- ------- - --------------------------

----- ------ - --- -------------
    ----- -----
    ----- -----------
---

----- ------------ - ----- --------- -------- -- -- -
    -- ----- ------------------- ---- --
    -- --------- -
        ------ - -------- ---- --
    - ---- -
        ------ - -------- ----- --
    -
--

----- ---- - ----- -- -- -
    ----- -------------------------

    --------------------------- ------ -
        ---- ----------------- -- --------- -----------
        --------- ------------- -- ----------- -----------
        -------------- - ----------- --------- - -- --- ------ -------
    ---

    --------------------------- -- - ----- -----------
--

-------

上面代码中的 validateUser 函数会用于验证用户的 jwt_payload。在此处可以添加自定义的逻辑，以验证用户的身份，比如从数据库中检索用户的相关信息，并创建一个 user 对象，该对象可以被用户请求的路由方法调用。

第三步：定义路由

路由是定义应用程序终点的方法。每个路由可以包括一个或多个方法，例如 GET、POST 等，这些方法定义了路由如何响应用户请求。要做到这一点，必须确保只有具有正确权限的用户才能够访问受限资源。这就是使用 Hapi.js 进行权限控制的部分。

在 server.js 中，添加一个简单的路由示例：

server.route({
    method: 'GET',
    path: '/restricted',
    handler: (request, h) => {
        return h.view('restricted', { title: 'Restricted' });
    },
    config: { auth: 'jwt' } // 确保只有授信用户可以访问该页面
});

在上面的代码段中，路由处理程序返回 HTML 内容，这里使用模板引擎渲染(h.view) HTML 页面，展示用户请求的受限资源。

第四步：生成 JWT

JWT 代表 JSON Web Token，是一种基于 JSON 的标准，用于通过网络将用户声明发送到应用程序。在 Hapi.js 中，您将需要一个通过在请求 header 中附加 JWT 来完成认证的验证策略，我们需要生成 JWT，并将其传递给客户端。例如：

-- -------------------- ---- -------
----- --- - ------------------------

----- ------- - -
    --------- -----------
    ------ - ------- -- -- --------
--

----- ------- - -
    ---------- -- ------
    ------- ------------
--

----- ----- - ----------------- ----------------- ---------

上面的代码生成了一个 JWT，用于代表用户的声明。JWT 中包括了节省空间的信息，声明该 JWT 的签发者和对用户资源的访问权限。

生成的 JWT 由服务端发送给客户端，客户端通常将其存储在本地，然后通过请求头在每个请求上添加 'Authorization'。例如：

fetch('/restricted', {
    headers: { Authorization: 'Bearer ' + token }
})

这个请求将有一个自定义的 'Authorization' 头信息，该头信息包括 JWT，这使您的 Hapi.js 应用程序可以验证用户的身份，并确保用户在访问受限资源时具有正确的权限和访问。

结论

在本文中，我们已经深入了解了如何在 Hapi.js 上实现权限控制。通过使用 hapi-auth-jwt2 插件，您可以轻松地创建一个安全的应用程序。完成以上步骤，即可实现对用户的权限控制，以确保他们只能访问他们具有权限的内容。这种类型的功能对于高度安全性的应用程序是非常重要的，使用 Hapi.js 框架能够很好地支持这种功能。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/67724f116d66e0f9aad726fc