oauth2.0 node_使用OAuth 2.0客户端凭据保护Node API

oauth2.0 node

本文最初发布在Okta开发人员博客上 。 感谢您支持使SitePoint成为可能的合作伙伴。

保护服务器到服务器的API服务可能很棘手。 OAuth 2.0是将用户身份验证转移到另一个服务的绝佳方法，但是如果没有用户要身份验证怎么办？ 在本文中，我将向您展示如何在用户上下文之外（也称为客户端凭据流）使用OAuth 2.0。

您可以使用第三方服务来管理您的授权，而不必为客户端（其他服务器）存储和管理API密钥。 这种工作方式是API客户端向OAuth服务器发送请求以获取API令牌。 该令牌随后随其请求从API客户端发送到您的API服务。 获得客户的令牌后，您可以验证其有效性，而无需存储有关客户的任何信息。

客户凭证流验证的工作方式

验证您收到的API服务令牌的一种方法是将令牌转发到OAuth服务器以询问其是否有效。 这种方法的缺点是，发送到您的服务器的每个API请求也需要发送到OAuth服务器的请求，这增加了您响应客户端的时间。 一种替代方法是使用一种称为本地验证的方法，该方法由JSON Web令牌（JWT）普及。 JWT以未加密的机器可读JSON包含您的声明（客户数据）。

使用本地验证模式来验证API令牌（JWT）时，可以使用数学来验证以下内容：

您的API接收到的令牌尚未被篡改您的API接收到的令牌尚未过期令牌中编码的某些JSON数据片段正是您所期望的

这样安全吗？ 您可能想知道。 JWT包含三部分：标头，有效负载和签名。 标头和有效负载是简单的base64编码的字符串，可以轻松解密和读取。 签名使用标头中列出的算法以及私钥来创建标头和有效负载的哈希。 没有私钥就无法重新创建哈希，但是可以使用公钥进行验证。

在某种程度上，这就像驾照或护照。 这很难伪造，但是对别人来说很容易看清楚，看看你的名字，出生日期和其他信息。 您可以扫描条形码，用黑光对其进行测试或寻找水印以帮助验证其有效性。

尽管在概念上相似，但是有效的JWT实际上要困难得多。 具有足够技能的人可以创建令人信服的驾驶执照，但是如果没有私钥，则可能需要花费现代计算机几年的时间才能强制使用有效的JWT签名。 令牌也应具有到期时间。 虽然是可配置的，但默认设置为一小时。 这意味着，如果客户端需要向您的API服务器提出新请求，则需要每60分钟请求一个新令牌。 万一您的令牌被盗，这是一个额外的安全层。 谁知道？ 也许那里有一台量子计算机可以在几个小时内重新创建签名。

现在，您了解了OAuth 2.0客户端凭据流程的基本原理，让我们构建一个使用客户端凭据和Okta的Node API。

什么是Okta？

简而言之，与以往相比，我们使身份管理更加轻松，安全和可扩展。 Okta是一项API服务，允许您创建，编辑和安全地存储用户帐户和用户帐户数据，并将它们与一个或多个应用程序连接。 我们的API使您能够：

• 验证和授权您的用户
• 存储有关您的用户的数据
• 执行基于密码的社交登录
• 通过多因素身份验证保护您的应用程序
• 以及更多！ 查看我们的产品文档以获取更多信息

注册一个永久免费的开发者帐户 ，完成后，请返回以了解有关在Node中构建安全API的更多信息！

创建一个基本节点API

为了入门，我将向您展示如何在Node中创建基本API。 Node在名为package.json的文件中保留依赖项列表以及其他元数据。

假设您已经安装了Node，请为您的API服务器创建一个新文件夹。 然后，您可以使用npm为您生成package.json 。 命令npm init将提示您输入一些信息，但是您可以继续Enter以遵循默认值。

$ mkdir client-credentials-flow
$ cd client-credentials-flow
$ git init
$ npm init

在Node中启动并运行API服务器的最快方法是使用Express。 您可以使用命令npm install express@4.16.3 --save将Express添加为依赖npm install express@4.16.3 --save 。 这将创建一个名为node_modules的文件夹，在该文件夹中下载express及其依赖的所有内容，然后您的应用程序可以使用这些文件夹。 为了加快开发速度，您还可以添加一个名为nodemon的dev依赖nodemon ，只要您更改代码， nodemon可以重新启动服务器。 要添加dev-dependency，请使用-D标志： npm install -D nodemon@1.17.5 。

在构建Node应用程序时，通常需要忽略将node_modules文件夹存储在git node_modules中。 您可以通过将node_modules添加到.gitignore文件中来实现。

echo node_modules >> .gitignore

程序包管理器还将包含一个文件（例如package-lock.json或yarn.lock ），以便在另一台计算机（使用npm install或yarn ）上下载node_modules时，将下载相同的版本。 这有助于防止服务器之间的任何不一致，并使您不知道为什么某些东西可以在您的计算机上正常工作，而在生产环境中却无法正常工作。 确保将文件也提交到您的git repo：

$ git add .
$ git commit -m "Adding package files."

您还可以将脚本添加到package.json文件夹中以运行这些命令。 使用命令node .创建一个start脚本node . （ .告诉它以main身份运行package.json列出的脚本，默认情况下为index.js 。您还希望使用nodemon *.js node .命令创建一个dev脚本。。命令行依赖项，像nodemon ，在道路节点脚本中运行时，您现在可以运行这些命令。 npm start或npm run dev你。 package.json文件现在应该是这个样子：

免费学习PHP！

全面介绍PHP和MySQL，从而实现服务器端编程的飞跃。

原价$ 11.95 您的完全免费

免费获得这本书

package.json

{
  "name": "client-credentials-flow",
  "version": "1.0.0",
  "description": "",
  "main": "index.js",
  "scripts": {
    "dev": "nodemon *.js node .",
    "start": "node .",
    "test": "echo \"Error: no test specified\" && exit 1"
  },
  "author": "",
  "license": "ISC",
  "dependencies": {
    "express": "^4.16.3"
  },
  "devDependencies": {
    "nodemon": "^1.17.5"
  }
}

现在，对于最基本的“ Hello World”快递应用程序：

index.js

const express = require('express')
const app = express()

app.get('/', (req, res) => res.send('Hello World!'))

const port = process.env.PORT || 3000
app.listen(port, () => console.log(`Listening on port ${port}`))

而已！ 要启动它，请在终端窗口中键入npm run dev 。 您可以在进行更改时保持此运行状态，它将自动重新启动以反映新的更改。 现在，在浏览器中转到http://localhost:3000 （或在带有curl http://localhost:3000的命令行上），您应该会看到Hello World! 回响。

向您的Node API的OAuth 2.0提供程序注册

现在保护应用程序。 这是您需要设置OAuth 2.0服务的地方。 Okta是一项基于云的服务，可让开发人员轻松安全地存储OAuth 2.0令牌，用户帐户和用户数据，然后将它们与一个或多个应用程序连接。 Okta还提供了适用于多种语言（包括Node）的库，以使它们的API非常易于开发人员集成到各种应用程序中。

您可以使用Okta快速轻松地设置服务器到服务器的身份验证。 如果您还没有帐户，请注册一个免费的Okta Developer帐户 。 注册后，您将获得一个唯一的Okta Org URL（例如https://{yourOktaDomain} ）和一封电子邮件，以激活您的新帐户。

为了使客户端到服务器的身份验证有效，您将需要两个部分：授权服务器和测试客户端/应用程序。

创建授权服务器

客户端可以在授权服务器上请求令牌以在您的API服务器上使用。 在Okta仪表板内，单击标题中的“ API”选项卡，然后选择“ 授权服务器”选项卡。 点击添加授权服务器 ，然后为您的服务器提供有用的名称和描述。 Audience应该是将使用令牌的服务器的绝对路径。

创建授权服务器后，将需要一个范围供您的客户端访问。 单击“ 作用域”选项卡并添加一个作用域。 您可以拥有许多这样的功能，这可以帮助定义正在使用API​​的哪些部分，甚至是谁在使用它。

现在您有了作用域，还需要指定一些规则来说明谁可以访问它。 单击访问策略选项卡，然后创建一个新策略。 现在，只允许访问All clients 。 然后单击“ 添加规则”并为其命名。 由于这仅用于客户端凭据，因此请删除其他代表用户执行的Authorization Code类型（“ Authorization Code ，“ Implicit ”和“ Resource Owner Password ），因此唯一的授权类型是“ Client Credentials 。 除此之外，现在就使用默认设置。

返回“ 设置”标签，记下“ 发行者” 。 这是客户端将用于请求令牌的地址，以及您的API服务器将用来验证这些令牌有效的地址。

创建一个测试客户端

在您的Okta仪表板中，单击顶部标题中的“ 应用程序 ”。 应用程序也称为客户端，因此您可以在其中创建测试客户端。 单击添加应用程序，然后选择服务 （机器对机器）。 它唯一需要的信息是名称，因此您可以使用诸如Test Client类的东西。 这将为您提供客户的凭据（在此测试用例中，就是您）。

保护您的Node API

现在，您已经完成了所有的难题，因此只有经过身份验证的用户才能收到心爱的“ Hello World”欢迎消息，其他所有人都会出错。

安全地存储您的凭据

您需要安全地存储凭据。 一种方法是在本地保存未存储在git中的文件（如果您的代码是开源的，则特别有用，但是无论如何还是一件好事）。 这也使您可以将相同的代码用于多个应用程序（例如，开发和生产环境）。

继续并创建一个.env文件，其中包含授权服务器中的颁发者和测试应用程序中的客户端凭据。 确保将其添加到您的.gitignore文件中，这样就不会将其添加到您的git repo中： echo .env >> .gitignore 。 您的.env文件应如下所示：

.env

ISSUER=https://{yourOktaDomain}/oauth2/abcdefg1234567
DEFAULT_SCOPE=such_scope
TEST_CLIENT_ID=client-id
TEST_CLIENT_SECRET=client-secret

代码读取.env文件的快速方法是使用名为dotenv的库。 您可以使用npm install dotenv安装它。 然后将require('dotenv').config()到index.js的第一行。 您希望它是运行的第一件事，以便其余代码可以访问这些环境变量。

验证客户请求

Okta提供了一个Node库来帮助验证JSON Web令牌。 当它第一次看到验证令牌的请求时，它将通过您的授权服务器获取公共密钥Okta。 尽管可以配置，但默认情况下它将保留一个键一个小时。 如果输入的令牌无法验证，它将与Okta进行核对，以查看是否有新的密钥要使用。 如果仍然无法验证，则库将引发错误。 您可以使用npm install @okta/jwt-verifier@0.0.12软件包。

您需要为软件包提供JWT。 您可以告诉客户如何提供令牌，这可以通过多种方式完成。 通常的做法是在HTTP请求中使用Authorization标头，该请求通常看起来像Bearer MG9h...NhOq== 。 修改您的/端点以查找令牌，并使用Okta进行验证。

index.js

const OktaJwtVerifier = require('@okta/jwt-verifier')
const oktaJwtVerifier = new OktaJwtVerifier({
  issuer: process.env.ISSUER,
})

app.get('/', async (req, res) => {
  try {
    const { authorization } = req.headers
    if (!authorization) throw new Error('You must send an Authorization header')

    const [authType, token] = authorization.split(' ')
    if (authType !== 'Bearer') throw new Error('Expected a Bearer token')

    await oktaJwtVerifier.verifyAccessToken(token)
    res.json('Hello World!')
  } catch (error) {
    res.json({ error: error.message })
  }
})

尝试再次访问http://localhost:3000 。 由于您未通过身份验证，这一次您将收到错误消息。

如果您不熟悉相对较新的async/await语法，这对您来说可能有点奇怪。 这里发生的是该函数被标记为async ，因此它将始终返回Promise 。 当它看到await关键字时，该函数的其余部分将暂停，直到响应返回。 同时，释放了主线程以供其他JavaScript代码执行。

在此示例中， verifyAccessToken如果无法立即验证令牌， verifyAccessToken向Okta发送请求。 如果您在代码的其他位置有setInterval ，则在等待Okta的响应时，该代码仍然可以执行。

verifyAccessToken完成后，如果令牌无效，则会引发错误。 因此，如果通过该行而没有引发错误，则可以安全地假定客户端已通过验证，并且可以发送“ Hello World”消息。 如果您想要有关客户端的更多信息，则可以使用const jwt = await oktaJwtVerifier.verifyAccessToken(token)从验证程序获得响应。

测试您的安全API

现在，您可以看到在没有适当身份验证的情况下浏览器出现错误，但是我没有向您显示仍然可以正确验证自己。 为了从授权服务器获取令牌，您可以编写一个简单的Node脚本。 使用本机节点request有点繁琐，因此您可以使用request-promise库，该库将允许您继续使用promise和不错的async/await语法。 您还将需要btoa ，它将字符串转换为base64。

npm install request-promise@4.2.2 btoa@1.2.1

test.js

require('dotenv').config()
const request = require('request-promise')
const btoa = require('btoa')
const { ISSUER, TEST_CLIENT_ID, TEST_CLIENT_SECRET, DEFAULT_SCOPE } = process.env

const test = async () => {
  const token = btoa(`${TEST_CLIENT_ID}:${TEST_CLIENT_SECRET}`)
  try {
    const { token_type, access_token } = await request({
      uri: `${ISSUER}/v1/token`,
      json: true,
      method: 'POST',
      headers: {
        authorization: `Basic ${token}`,
      },
      form: {
        grant_type: 'client_credentials',
        scope: DEFAULT_SCOPE,
      },
    })

    const response = await request({
      uri: 'http://localhost:3000',
      json: true,
      headers: {
        authorization: [token_type, access_token].join(' '),
      },
    })

    console.log(response)
  } catch (error) {
    console.log(`Error: ${error.message}`)
  }
}

test()

现在，在您的应用仍在端口3000上运行的情况下，使用node test.js运行测试。 这将向Okta发送请求以获取令牌，然后将该令牌转发到您的API服务器并打印结果。 您应该得到一个不错的“ Hello World”问候！

快速注册客户

您有一个测试客户端，但是在现实世界中，您可能希望让人们注册您的API，而无需您登录Okta并手动为其创建客户端。 您也可能不希望每个人都共享相同的客户端ID和密码，这样您就可以跟踪谁在发出什么请求，例如，发出请求的频率。

Okta提供了一个API，可让您自动执行各种任务。 其中之一是创建新的应用程序。 Okta还具有一个Node库，使其非常简单。 为了使您的应用程序可以通过Okta进行身份验证，您需要一个API令牌。 登录到您的信息中心，然后从标题的API下拉列表中选择令牌 。 单击创建令牌并为其赋予一个有意义的名称。 然后，这一次将为您提供令牌-如果丢失，则需要创建另一个令牌。 继续，并将其作为TOKEN添加到您的.env文件中。

使用npm install @okta/okta-sdk-nodejs@1.1.0安装Okta Node SDK。 它需要您的组织URL，因此也应将其添加到.env文件中。 然后在index.js创建一个新路由来注册新客户端。

index.js

const okta = require('@okta/okta-sdk-nodejs')
const oktaClient = new okta.Client({
  orgUrl: process.env.ORG_URL,
  token: process.env.TOKEN,
})

app.get('/register/:label', async (req, res) => {
  try {
    const application = await oktaClient.createApplication({
      name: 'oidc_client',
      label: req.params.label,
      signOnMode: 'OPENID_CONNECT',
      credentials: {
        oauthClient: {},
      },
      settings: {
        oauthClient: {
          grant_types: ['client_credentials'],
          application_type: 'service',
        },
      },
    })

    const { client_id, client_secret } = application.credentials.oauthClient

    res.json({
      client_id,
      client_secret,
      request_token_url: `${process.env.ISSUER}/v1/token`,
    })
  } catch (error) {
    res.json({ error: error.message })
  }
})

现在，您可以转到http://localhost:3000/register/Awesome+App+Name （在浏览器中可以使用）来创建新客户端。 第一次去那里时，它应该为您提供客户ID和密码，并提醒您在哪里申请令牌。 您可以使用.env新客户端ID替换以前的客户端ID和密码，然后重新运行test.js以查看该客户端现在也可以使用。

如果您重新登录Okta Developer Console，您会看到“ Awesome App Name”已添加为应用程序。

请记住， 这是一个测试……这只是一个测试。 您可能不希望任何人未经任何形式的验证就公开注册API密钥。 这可能是实施某种CAPTCHA的好地方，或者需要用户身份验证才能获取API密钥。 一旦拥有API密钥，他们便可以在其应用程序中使用该密钥，而无需进一步的用户身份验证。

了解有关Okta的节点和OAuth 2.0客户端凭据的更多信息

希望我已经向您展示了，为您的Node API提供出色的安全性确实很容易。 Okta在保护您的应用程序方面提供了更多的选择。 如果您想了解有关Node，Okta和OAuth 2.0客户端凭据的更多信息，请查看其他一些资源或浏览Okta开发人员博客的其余部分：

• Okta Node SDK
• 实施客户凭证流程
• 验证访问令牌
• 使用Spring Boot和OAuth 2.0进行安全的服务器到服务器通信
• 如何使用令牌身份验证保护.NET Web API

与往常一样，您可以在下面的评论中提供反馈或问题，或者在Twitter @oktadev上与我们联系 。 我们期待您的回音！

翻译自: https://www.sitepoint.com/secure-a-node-api-with-oauth-2-0-client-credentials/

oauth2.0 node