hapi-auth-bearer-token: 实现HAPI API的安全认证

hapi-auth-bearer-token: 实现HAPI API的安全认证

hapi-auth-bearer-token Simple Bearer authentication scheme plugin for hapi, accepts token by Header, Cookie or Query parameter. 项目地址: https://gitcode.com/gh_mirrors/ha/hapi-auth-bearer-token

项目介绍

hapi-auth-bearer-token 是一个简洁的 HAPI.js 认证插件，用于实现基于Bearer令牌的安全验证。该插件允许从HTTP头部、查询参数或者cookie中接收访问令牌，提供了一种灵活的方式，以确保API请求的合法性。适用于那些希望加强API安全的企业级应用，支持HAPI框架版本17及以上，并兼容Node.js 12或更高版本。

项目快速启动

安装

首先，通过npm安装hapi-auth-bearer-token：

npm install hapi-auth-bearer-token --save

配置与使用

在你的HAPI服务器中，注册并配置这个插件：

const Hapi = require('@hapi/hapi');
const AuthBearer = require('hapi-auth-bearer-token');

const server = Hapi.server({
    port: 8080,
});

(async () => {
    await server.register(AuthBearer);
    server.auth.strategy('simple', 'bearer-access-token', {
        validate: async (request, token, h) => {
            // 假设我们有一个验证函数来检查token的有效性，这里简化处理
            const isValid = token === '预期的令牌值';
            const credentials = { token };
            const artifacts = {}; // 可选的认证相关数据
            return { isValid, credentials, artifacts };
        },
        allowQueryToken: true, // 允许通过查询参数传递token
    });

    server.auth.default('simple');

    server.route({
        method: 'GET',
        path: '/',
        handler: async (request, h) => {
            return { info: '成功响应' };
        },
    });

    await server.start();
    console.log(`Server running at: ${server.info.uri}`);
})();

测试时，可以通过命令行使用curl验证不同场景：

• 未携带令牌请求：

  curl http://localhost:8080
  

• 错误的令牌：

  curl http://localhost:8080?access_token=wrong_token
  

• 正确的令牌（假设为"预期的令牌值"）：

  curl http://localhost:8080?access_token=预期的令牌值
  

应用案例与最佳实践

在生产环境中，验证函数应该连接到实际的数据库或认证服务，以校验令牌的有效性。最佳实践包括：

1. 安全存储令牌: 不要在客户端明文存储敏感令牌。
2. 过期时间管理: 给予令牌一个合理的生命周期，并处理刷新逻辑。
3. 错误处理: 自定义unauthorized回调，为用户提供清晰的错误信息，同时确保安全响应不会泄露过多信息。

典型生态项目

虽然本插件专注于HAPI框架的Bearer认证，它与其他HAPI生态系统中的中间件和服务结合紧密，比如日志处理、缓存策略等。例如，配合使用joi进行请求体验证，或者@hapi/inert服务于静态文件，增强整个应用程序的健壮性和安全性。

---

以上是基于hapi-auth-bearer-token的简单介绍与快速入门指南，确保您的HAPI应用拥有稳固且高效的认证机制。记得根据实际需求调整配置细节，构建安全可靠的API服务。

hapi-auth-bearer-token Simple Bearer authentication scheme plugin for hapi, accepts token by Header, Cookie or Query parameter. 项目地址: https://gitcode.com/gh_mirrors/ha/hapi-auth-bearer-token