如何用identityserver4保护nodejs的web接口安全

最新推荐文章于 2024-08-31 07:57:33 发布
最新推荐文章于 2024-08-31 07:57:33 发布
阅读量543 收藏
点赞数
分类专栏: .Net Core nodejs 网络安全 文章标签: oauth2 identityserver4 nodejs koa2 jwks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/omage/article/details/123934852
版权
nodejs 同时被 3 个专栏收录
19 篇文章 0 订阅
订阅专栏
网络安全
8 篇文章 0 订阅
订阅专栏
.Net Core
5 篇文章 2 订阅
订阅专栏

    identityserver4是基于.NET Core打造的一款基于 OpenID Connect 和 OAuth 2.0 认证框架,可以很方便的为asp.net core web项目做安全认证等功能, 那这次本文分享如何把identityserver4应用于nodejs的web接口安全。

   这里nodejs我们用koa2作为web代码框架来做示范。

1.编写一个hello world的web应用

 文件名demo.js,内容如下

const Koa = require('koa');
const Router = require('koa2-router')
const app = new Koa();
const router = new Router();

router.get('/',async (ctx, next) => {
    ctx.response.body=`<h1>hello world</h1>`;
});


app.use(router);

app.listen(3000,() => {
    console.log(`web app started`);
});

  node demo.js启动后,用浏览器测试

2.引入koa-jwt,jwks-rsa相关第三方插件

代码修改如下

const Koa = require('koa');
const Router = require('koa2-router')
const jwt = require('koa-jwt')
const jwksRsa = require('jwks-rsa');

const app = new Koa();
const router = new Router();

const jwksHost = 'http://<identityserver4>'
const issuer = 'http://<issuer>'

app.use(jwt({
    secret: jwksRsa.koaJwtSecret({
        cache : true,
        rateLimit : true,
        jwksRequestsPerMinute: 2,
        jwksUri: `${jwksHost}/.well-known/openid-configuration/jwks`,
        algorithms: [ 'RS256' ]
      }),
      debug : true,
      issuer : issuer
 }));

router.get('/',async (ctx, next) => {
    ctx.response.body=`<h1>hello world</h1>`;
});


app.use(router);

app.listen(3000,() => {
    console.log(`web app started`);
});

代码里面有几个关键参数:

const jwksHost = 'http://<identityserver4>'
const issuer = 'http://<issuer>'

jwksUri: `${jwksHost}/.well-known/openid-configuration/jwks`

<identityserver4>就是你部署identityserver4的主机域名或IP,  <issuer>和<jwksUri>这两个值可以直接通过用浏览器访问http://<identityserver4>/.well-known/openid-configuration页面查询下,会返回类似如下页面,请确保代码的值与这个页面的值一致。

 修改完代码,启动web: node demo.js, 再次用浏览器访问,出现如下信息

说明安全保护起作用了。

2.使用token测试

为了测试token,我们还是用nodejs脚本模拟客户端,编写一个

test.js文件,内容如下

const { ClientCredentials} = require('simple-oauth2');
const request = require('request')

const config = {
   client: {
     id: '<client_id>',
     secret: '<secret>'
   },
   auth: {
    tokenHost:  'http://<identityserver4>',
    tokenPath : "/connect/token"
   }
 };
 
 const tokenParams = {
 };
 
 const authenticate = async function() {
   const client = new ClientCredentials(config);
  
   const accessToken = await client.getToken(tokenParams,{json:"force"});
   return accessToken.token.access_token;
 };
 
 const getWithBearerToken =  (url,token,parameters) => new Promise((resolve,reject) => {
  request.get( url, 
      { 
        qs : parameters, 
        headers:{ Authorization: `Bearer ${token}` }
      }, function (err, resp, body) {
      if (err) {
         reject(err);
      } else if(resp.statusCode != 200)
      {
         reject(resp.statusMessage);
      }
      else {
         resolve(body);
      }
    });
});
 
 /** 测试入口 */
 (async function(){
    
   const token = await authenticate();
   const resp = await getWithBearerToken('http://localhost:3000',token,{});
   console.log(resp);
   
 }().catch((err) => {
     console.log("exception:" + err);
 }));

 这里使用Client Credential模式来测试,

id和secret由identityserver4里的配置来提供,代码第一步先验证拿到token,然后再请求上面demo.js的web接口,在请求的header里authorization字段设置为"Bearer <token>",这也是oauth2协议里的标准做法。

然后运行下node test.js, 可以看到控制台输出结果:

 进一步,我们可以将demo.js代码里的hello world输出改成如下:

token的信息会被解析到ctx.state.user这个对象里,  然后再用test.js运行测试下,结果类似:

 这些输出的信息也就是identityserver4里这个client配置的相关信息。

参考https://github.com/auth0/node-jwks-rsa/tree/master/examples/koa-demoicon-default.png?t=M276https://github.com/auth0/node-jwks-rsa/tree/master/examples/koa-demo

Community quickstarts & samples — IdentityServer4 1.0.0 documentationhttps://identityserver4.readthedocs.io/en/latest/quickstarts/community.html

omage
关注
专栏目录
Nodejs如何搭建Web服务器
12-23
使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块、文件系统、url解析模块、路径解析模块、以及301重定向问题...
NODEJS WEB API 后台
09-26
NODEJS WEB API 后台 可用于移动端后台服务用,是我为VC公司开发的,可以用戶登錄驗證及移動端,PC端調用,非常簡單實用
(精华)2020年11月21日 .NET Core 使用IdentityServer4保护API
热门推荐
时光隧道
11-21 21万+
一:.NET Core 使用IdentityServer4保护API 1:首先添加nuget包:Microsoft.AspNetCore.Authentication.JwtBearer 2:在Startup.cs类ConfigureServices方法中,将身份验证服务添加到DI并配置Bearer为默认方案 public void ConfigureServices(IServiceCollection services) { services.AddControllers(); //将
IdentityServer4 接口说明
weixin_30536513的博客
08-17 583
IdentityServer4 接口说明 在.net core出来以后很多人使用identityServer做身份验证。 ids4和ids3的token验证组件都是基于微软的oauth2和bearer验证组件。园子里也很多教程,我们通过教程了解到is4有一个discovery endpoint。 顾名思义,Discovery定义了一个服务...
node-jwks-rsa 使用教程
gitblog_00824的博客
08-31 680
node-jwks-rsa 使用教程 node-jwks-rsaA library to retrieve RSA public keys from a JWKS (JSON Web Key Set) endpoint.项目地址:https://gitcode.com/gh_mirrors/no/node-jwks-rsa 1、项目介绍 node-jwks-rsa 是一个用于从 JWKS (JS...
Identityserver4 端点(接口)说明
逸只猫の博客
03-10 1665
目录Identityserver4 接口说明发现端点token端点用户信息端点自检端点参考文献 Identityserver4 接口说明 发现端点 Url: /.well-known/openid-configuration 字段 说明 示例 issuer 发行网址,也就是说我们的权限验证站点 https://demo.identityserver.io jwks_uri 这个接口获取的是公钥,用于验证jwt的数字签名部分(数字签名由sso维护的私钥生成)用的 https://dem
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
2301_77033340的博客
04-15 452
【代码】JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
如何做好nodejs服务在服务器上的安全防护?
Daydream的博客
03-13 697
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。像nodejs的mysql模块中,为了防止SQL注入,可以传入参数进行编码。简单来说就是见用户的输入进行检查,避免用户输入中含有sql语句,是一种非常常见、高效的方法,但不是绝对安全的,假如你的验证做的不够彻底,那么就可能留出被攻击的窗口,不过因为其简便性,也是很多开发者选择的防范方法。
NodeJS Web应用监听sock文件实例
10-24
NodeJS广泛应用于网络应用的开发,因其非阻塞IO和事件驱动的特性,非常适合构建高并发的Web应用。在NodeJS中监听sock文件,即在Unix Domain Socket上监听,是一种优化网络通信的方法,尤其是本地通信。Domain Socket...
基于SpringBoot的Zebra4J/Zebra4Js Java Web/Nodejs框架设计源码
最新发布
09-30
本项目为基于SpringBoot的Zebra4J/Zebra4Js框架设计的Java Web/Nodejs源码,包含57个文件,涵盖21个JavaScript文件、12个Java文件、7个HTML文件、4个Markdown文件、3个XML文件、2个Git忽略文件、2个JSON文件、1个JPG...
jwks:针对RS256 JWKS URI验证JWT的简单库
03-04
ks 用于针对RS256 JWKS URI验证JWT的简单库 安装 将依赖项添加到您的shard.yml : dependencies : jwks : github : place-lab/jwks 运行分shards install 用法 require " jwks " 待办事项:在此处写下使用说明 发展 待办事项:在此处编写开发说明 贡献 分叉( ) 创建功能分支( git checkout -b my-new-feature ) 提交更改( git commit -am 'Add some feature' ) 推送到分支( git push origin my-new-feature ) 创建一个新的拉取请求 贡献者 -创作者和维护者
node-jwks-rsa, 从 JWKS ( JSON网络密钥集) 端点检索 RSA public 密钥的库.zip
09-17
node-jwks-rsa, 从 JWKS ( JSON网络密钥集) 端点检索 RSA public 密钥的库 jwks-rsa从 JWKS ( JSON网络密钥集) 端点检索RSA签名密钥的库。npm安装 --save jwks-rsa用法你将向客户端提供公开签名密钥的JWKS端点。 使用 getSigningKey,你可以获得与特定 k
IdentityServer4 中文文档 -15- (快速入门)添加 JavaScript 客户端
weixin_30911451的博客
08-12 317
IdentityServer4 中文文档 -15- (快速入门)添加 JavaScript 客户端 原文:http://docs.identityserver.io/en/release/quickstarts/7_javascript_client.html 目 录 上一篇:IdentityServer4 中文文档 -14- (快速入门)使用 ASP.NET Core Identity 下一篇...
IdentityServer4【Topic】之定义客户端
weixin_30745641的博客
07-07 111
Defining Clients 定义客户端 客户端表示哪些可以从你的IdentityServer拿到token的应用。 除了一些可能会变化的细节之外,通常情况下你需要为一个客户端定义如下通用的设置: 一个唯一的client id 一个secret(如果需要的话) 被允许与token service的交互(也叫做授权类型,grant type) 一个网络位置,其中标识和/或访问令牌...
IdentityServer4-前后端分离的授权验证(六)
12-29 1160
上两节介绍完Hybrid模式在MVC下的使用,包括验证从数据获取的User和Claim对MVC的身份授权。本节将介绍Implicit模式在JavaScript应用程序中的使用,使用Node.js+Express构建JavaScript客户端,实现前后端分离。本节授权服务和资源服务器基于第四和第五节。 一、使用Node.js+Express搭建JavaScript...
Koa 6 响应(Response)
谢谢你们的关注
12-03 544
Koa 6 响应(Response)
IdentityServer4相关well-known/openid-configuration介绍
ml344739968的专栏
12-04 6114
关于IdentityServer4中well-known/openid-configuration格式介绍,一下接口浏览器直接访问 http://localhost:5000/.well-known/openid-configuration 即可得到如下json内容 { issuer: "http://localhost:5000", **发行网址,也就是说我们的权限验证站点 jwks_uri: "http://localhost:5000/.well-known/openid-configuration/
前后端分离实践:NodeJS下的Web安全防护策略
前后端分离模式下的Web安全需要开发者对整个应用的安全性有全面的认识,从前端到后端,从客户端到服务器端,都需要采取相应的保护措施。通过持续学习和实践,我们可以构建出更加安全Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值