【决战Koa之巅-7】使用JWT对路由进行授权

最新推荐文章于 2024-08-10 07:37:27 发布
最新推荐文章于 2024-08-10 07:37:27 发布
阅读量446 收藏 1
点赞数
分类专栏: Koa 文章标签: 前端 KOA授权 JWT在KOA JWT 前端鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq934235475/article/details/130727894
版权
文章介绍了路由授权的重要性,如保护资源,防止未授权访问。接着详细讲解了OAuth2.0授权协议,常用于第三方应用获取用户数据。然后提到了CAS,主要用于单点登录。重点讨论了JWT,包括其特点和结构,以及如何在KOA中使用KOA-JWT进行路由鉴权。最后给出了一个简单的JWT授权示例。
摘要由CSDN通过智能技术生成

我们目前已经实现了路由代码自动格式化,那么让我们来继续学一学路由鉴权。

一、为什么要路由授权?

很显然,一台服务器上的资源不可能对所有人开放;

我们的一个路由,就对应了一种类型的资源。

以下场景:

  • 未登录的人员,不能访问注册会员才能查看的信息;
  • 降低系统压力,仅为授权人员服务;

二、常见授权方式

那么,就趁此机会,让我们来学学现在常见的授权方式都有哪些吧!

2.1 OAuth2.0

比较流行的授权方式,主要是用于授权第三方应用,获取用户数据;

比如你的应用使用微信登录,会提示获取你是否确认授权三方获取用户信息(OPENID、头像)等等,点击允许后就会拿上票据跳转到三方,三方换取到 access_token 后,就能拿到了微信提供的用户信息,官方时序图如下:

image.png

具体可见:微信OAuth2.0对接介绍

PS:大部分应用首次还会让你再输入手机号+短信验证码,做手机号与微信号的绑定。

由于咱们只是了解,更多可见阮老师的OAuth2.0的简单解释

2.2 CAS

CASOAuth2.0 类似,也是做身份验证和授权,但是 CAS 主要用于单点登录( SSO:即登录一次即可访问所有与该系统连接的应用)。
流程图如下:

CAS基础协议.jpg

想必大家也遇到过,使用 A 系统先跳转到统一认证中心,输入完密码后再跳转回 A 系统。就是这样的机制啦。(更往上就是 IAM系统,这里先按住不表)

2.3 JWT

JWTJSON WEB TOKEN,不难理解是以 JSON 格式进行 WEB 认证的 Token

看一下官方介绍:

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间传输信息的一种方式。

具有无状态、有效避免 CSRF 攻击、使用移动端、单点登录友好等特点。

通常,JWT 多用于跨域认证和授权,也是一种比较简单的机制。

由三部分构成:

image.png

  • Header:元数据,定义生成签名算法及Token类型;
  • Payload:存放需要传递的数据;
  • Signature:服务器使用 Payload + Header + Secret 通过 Header 中指定的算法生成。

一般形如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6ImZlbmd5cyIsImlhdCI6MTY4NDMwMjk0MSwiZXhwIjoxNjg0Mzg5MzQxfQ.n7DZdoTSW6O0wD0VclFIE0MEwK1tkyTiXSUeX4ZkgFI

OK,let’s do it!

三、整体流程

3.1 接口区分

首先,我们需要对路由进行区分,哪些是开放路由,哪些是需要鉴权成功(输入用户名密码)后获取 JWT,请求头中带上才能使用的路由。

也就是分为两种角色:

  1. 无需登录使用;(游客)
  2. 需要登录后使用;(已登录用户)

3.2 流程图

未命名文件.jpg

四、使用 KOA-JWT

该组件就是一个在 KOA 中的 JWT 中间件。

4.1 安装

npm install koa-jwt jsonwebtoken
  • koa-jwt:对路由进行拦截判断
  • jsonwebtoken:生成 JWT

4.2 使用

关键代码

const jwt = require("koa-jwt");

// 类似于加 salt,需要传递一个密钥串
const JWT_SECRET = "shared-secret"
// 生成 JWT
jwt.sign({ id: uId }, JWT_SECRET, { expiresIn: 24 * 60 * 60 })
/.../
// 给路由加上了 `JWT` 校验,使用 `unless` 去排查不需要校验的路由
app.use(jwt({ secret: JWT_SECRET }).unless({ path: [/^\/auth/] }));

然后,我们来设计一个 auth 接口,用于获取认证信息,当用户名密码输入正确(暂未涉及数据库,用固定参数)后才返回;

设计一个 user 接口,用户返回用户信息,该接口需要授权成功后才能访问,否则就报未授权错误。
完整如下:

const koa = require("koa");
const Router = require("@koa/router");
const jwt = require("jsonwebtoken");
const koaJWT = require("koa-jwt");
const { koaBody } = require("koa-body");
const app = new koa();
const router = new Router();
const JWT_SECRET = "shared-secret";
/**
 * 授权接口,用户名密码正确返回 JWT ,错误则提示
 */
router.post("/auth", async (ctx, next) => {
  const jwtString = jwt.sign({ id: "root" }, JWT_SECRET, {
    expiresIn: 24 * 60 * 60
  });
  const { uId, password } = ctx.request.body;
  if (uId === "root" && password === "123456") {
    ctx.body = { code: "200", msg: "success", token: jwtString };
  } else {
    ctx.body = { code: "-1", msg: "The user name or password is incorrect" };
  }
});

/**
 * 获取用户信息接口,需携带 JWT 访问
 */
router.get("/user", async (ctx, next) => {
  ctx.body = "This is user info.";
});

app.use(koaBody());
app.use(koaJWT({ secret: "shared-secret" }).unless({ path: [/^\/auth/] }));
app.use(router.routes());
app.listen(3000, () => {
  console.log("启动成功!http://localhost:3000");
});

验证:

不携带 JWT 访问未授权接口 localhost:3000/user,提示错误:

image.png

调用localhost:3000/user获取 JWT

密码错误情况:

image.png

正确:

image.png

携带 JWT 访问未授权接口 localhost:3000/user,返回用户信息:

image.png

注意:使用时要在前面增加 Bearer,为什么要这样加?不能不加?就留给大家去探索了!

Demo

JWT-Demo

参考

v朔一
关注
专栏目录
koa2服务端使用jwt进行鉴权路由权限分发的流程分析
10-16
主要介绍了koa2服务端使用jwt进行鉴权路由权限分发 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
vue+koa2中使用koa-jwt
06-05 231
下载 config/settings.js: db.js: app.js: routes/index.js: routes/users.js vue2前端
探索Koa世界的安全卫士:Koa-JWT中间件
最新发布
gitblog_01058的博客
08-10 376
探索Koa世界的安全卫士:Koa-JWT中间件 jwtKoa middleware for validating JSON Web Tokens项目地址:https://gitcode.com/gh_mirrors/jwt2/jwtKoa框架中,保护你的API免受非法访问和数据泄露至关重要。这就是Koa-JWT闪亮登场的地方。它是一个强大的中间件,专为验证JSON Web Tokens(JW...
koa2学习笔记(七)使用JWT鉴权
weixin_33858336的博客
05-11 412
在前段时间,遇到一个需求,使用token进行单一登陆,网上都资料也是比较久远了,不知道是否有效,在我一个一个都尝试下,终于找到一个实测有效的demo。 什么是token登陆 Json Web Token 简称为 JWT,它定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。 认证过程 首先用...
koa实战 - 鉴权
qq_42880714的博客
06-15 381
session-cookie方式 const http = require('http') const app = http.createServer((req, res) => { console.log(`cookie: ${req.headers.cookie}`) res.setHeader('Set-Cookie', 'cookie=admin'); res.end('set cookie') }) app.listen(3000, () => { console.l
推荐使用Koa-JWT,安全的Koa中间件实现JWT验证
gitblog_00063的博客
05-14 607
推荐使用Koa-JWT,安全的Koa中间件实现JWT验证 jwtKoa middleware for validating JSON Web Tokens项目地址:https://gitcode.com/gh_mirrors/jwt2/jwt 在构建现代Web应用时,确保用户数据的安全是至关重要的。Koa-JWT是一个强大的Koa中间件,用于验证JSON Web Tokens(JWT),以保护...
koa-auth-jwt:使用JWTKoa身份验证中间件
04-30
koa-auth-jwt 描述 与结合使用。 该中间件可用于保护路由。 它将在X-Auth-Token请求标头中查找 。 如果不存在令牌或令牌无效,则会将401 unauthorized的HTTP响应代码401 unauthorized发送回去。 否则,将使用jwt中的...
koa-sqlite-jwt-server:具有JWT认证路由的API服务器。 使用Koa和Knex
05-08
cd koa-sqlite-jwt-server 安装依赖项 npm install 用法 启动服务器 node index 获得JWT 使用正确的凭据向/auth提交POST请求。 curl --request POST \ --url http://localhost:3000/auth \ --header 'content-...
Node.js-使用nodejs-koa2-mysql-sequelize-jwt实现登录注册文章增删改查接口
08-10
在本项目中,我们主要探讨如何使用Node.js的Koa2框架、MySQL数据库、Sequelize ORM以及JSON Web Tokens(JWT)来构建一个完整的登录注册系统,并实现文章的增删改查接口。以下是对这些技术及其应用的详细解析: 1. ...
koa-swagger-decorator:使用装饰器自动为koa-router生成swagger文档
04-30
koa-swagger-decorator 使用装饰器自动生成swagger json文档 安装 npm install koa-swagger-decorator 贡献指南 请参考创建PR或发行前。 介绍 Koa Swagger装饰器 使用装饰器自动生成swagger json文档,添加对...
park-koa-jwtJWTKoa游乐场
02-03
游乐场-koa-jwt 由。 与JWT合作的Koa游乐场。 发展历程 克隆仓库 $ git clone https://github.com/robertoachar/playground-koa-jwt.git 安装依赖项 $ npm install 运行脚本 行动 用法 开始开发模式 npm start ...
koa+jwt实现token验证与刷新功能
10-16
主要介绍了koa+jwt实现token验证与刷新功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
koa框架中jwt使用(jsonwebtoken)
weixin_44206947的博客
03-05 1736
一、安装jsonwebtoken、koa-jwt yarn add jsonwebtoken koa-jwt 或 npm install jsonwebtoken koa-jwt 先安装 jsonwebtoken 和 koa-jwt 后面需要导入使用 二、使用步骤 1.登录接口:生成token 上图表示在登录接口请求成功后,使用jwt.sign生成token并一起返回给前端 const token = jwt.sign({ data //用户数据 },'vueManager',{expiresIn:
Koa开发之koa-jwt工作过程
jifukui的专栏
10-17 540
最近的工作是开发一个分布式的服务系统,选用的环境是node开发环境,由于需要全面的进行异步开发所以使用Koa框架,开发Web服务需要对用户进行身份认证,所以就使用koa-jwt,为什么使用token这种方式网上有很多介绍token和session的区别我这里就不再赘述了。在给大家演示代码之前我在这一章主要是介绍koa-jwt的工作流程在后面的一章中我将使用程序对大家进行演示。 首先我在这附上koa-jwt的源代码,然后为大家剖析其的工作流程。 源程序 koa-jwt的源程序的主程序在lib/...
koa2中使用jwt
dan_seek的博客
02-10 1952
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息。随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单 JSON Web Token由三部分组成,它们之间用圆点(.)连接,header.payload.signature header存token类型和签名算法 payl
koa-jwt 全面解析,安检利器!
weixin_33984032的博客
11-30 456
学习 Koa 不易,今天学习到了 koa-jwt 这个登陆验证必不可少的中间件。本文会说明jwt是什么、token怎么来的、如何验证token。一反常态,先上代码!(本代码由 koa-generater 生成,安装 koa-jwt, jsonwebtoken 两个 npm 包 )文件名及源代码:文件名: app.js红色框:jwt 相关的代码蓝色框:为了完成demo,在原有脚手架中做的调整。文件...
Koa + JWT + 登录+ 后台验证
燃燃的大尾巴
09-14 558
token 方法封装 — jwt-token.js const jwt = require('jsonwebtoken'); // 用于签发、解析`token` const jwtSecret = 'jwtSecret' const tokenExpiresTime = 60 * 60 * 4 // 4小时 /* 获取一个期限为4小时的token */ function getToken(payload = {}) { return jwt.sign(payload, jwtSecret, {.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值