NodeJs学习笔记:验证和授权(Authentication and Authorization)

最新推荐文章于 2024-07-29 16:38:07 发布
最新推荐文章于 2024-07-29 16:38:07 发布
阅读量4.6k 收藏 7
点赞数 1
分类专栏: node.js 文章标签: nodejs jwt 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18404993/article/details/106035472
版权

文章目录

1.基本概念

Authentication:认证,就是验证一个用户是不是它所声明的身份的过程。
Authorization:授权,就是判断是否用户有做某件事的权利。

2.准备工作

为以前的vidly项目添加用户注册和登录模块。
注册模块:
models/user.js

const mongoose = require('mongoose')
const Joi = require("joi");

const userSchema = mongoose.Schema({
    name:{
        type:String,
        minlength:3,
        maxlength:100,
        required:true
    },
    email:{
        type:String,
        minlength:5,
        maxlength:100,
        required:true,
        unique:true
    },
    password:{
        type:String,
        minlength:6,
        maxlength:100,
        required:true
    }
});
const User = mongoose.model('User',userSchema);

function validateUser(user){
    const schema = {
        name:Joi.string().required().min(3).max(100),
        email:Joi.string().email({ minDomainAtoms: 2 }),
        password:Joi.string().required().min(6).max(100),
    }
    return Joi.validate(user,schema);
}

exports.User = User;
exports.validateUser = validateUser;

routes/user.js

const _ = require('lodash');
const {User,validateUser} = require('../models/user');
const express = require('express');
const router = express.Router();
const mongoose = require('mongoose')

// Register
router.post('/',async (req,res)=>{
    const result = validateUser(req.body);
    if(result.error){
        res.status(400).send(result.error.details[0].message);
    }
    // 查询是否已经注册过
    let user = await User.findOne({email:req.body.email});
    if(user){
        return res.status(400).send("User already exists");
    }

    user = new User(_.pick(req.body,['name','email','password']));
    await user.save();
    res.send(_.pick(user,['id','name','email']));
});

module.exports = router;

上面的代码在新建user对象时使用了lodash库,它能使对象属性的筛选和设置更为渐变。

3.对密码字段进行哈希加密

我们使用bcrypt库对用户的密码进行加密。

const bcrypt = require('bcrypt');

async function run(){
    const salt = await bcrypt.genSalt(10);
    console.log(salt);
}
run();

结果为:

$2b$10$vFVSf8lBRAN.unFl0YMTj.

这就是我们生产的salt。我们每次用这个salt去哈希一个新密码,都会得到不同的结果。
接下来,我们用这个salt去哈希密码:

const bcrypt = require('bcrypt');

async function run(){
    const salt = await bcrypt.genSalt(10);
    const hashPassword = await bcrypt.hash('1234',salt);
    console.log(salt);
    console.log(hashPassword);
}
run();

结果为:

$2b$10$jLL5/B2jOYgvvFMQHSbGA.
$2b$10$jLL5/B2jOYgvvFMQHSbGA.1ntHn6pGyh/2bKpIbV/cgzZ.G8In/OW

我们看到,salt包含在哈希之后的密码中。
接下来,把哈希加密加到注册中:

// Register
router.post('/',async (req,res)=>{
    const result = validateUser(req.body);
    if(result.error){
        res.status(400).send(result.error.details[0].message);
    }
    // 查询是否已经注册过
    let user = await User.findOne({email:req.body.email});
    if(user){
        return res.status(400).send("User already exists");
    }

    user = new User(_.pick(req.body,['name','email','password']));

    // 哈希密码
    const salt = await bcrypt.genSalt(10);
    user.password = await bcrypt.hash(user.password,salt);

    await user.save();
    res.send(_.pick(user,['id','name','email']));
});

在这里插入图片描述

4.验证用户

// Register
router.post('/',async (req,res)=>{
    const result = validate(req.body);
    if(result.error){
        res.status(400).send(result.error.details[0].message);
    }
    // 查询用户是否存在
    let user = await User.findOne({email:req.body.email});
    if(!user){
        return res.status(400).send("Error info");
    }
    // 验证密码
    const validPassword = await bcrypt.compare(req.body.password,user.password);
    if(!validPassword){
        return res.status(400).send("Error info");
    }
    res.send(true);
});

function validate(req){
    const schema = {
        email:Joi.string().email({ minDomainAtoms: 2 }),
        password:Joi.string().required().min(6).max(100),
    }
    return Joi.validate(req,schema);
}

代码中的重点在于这一句:const validPassword = await bcrypt.compare(req.body.password,user.password);它将用户填写的明文密码与数据库的加密密码进行比对,返回一个布尔值。

5.JSON网络令牌

在之前的处理中,用户的邮箱和密码符合之后,服务端返回了一个true给客户端。在实际操作中,我们不能这样返回,我们需要返回一个JSON WEB TOKEN(JSON网络令牌,JWT)。
JSON网络令牌实际上是一个长字符串,用于辨认一个用户的身份。在客户端上将会将JWT作为长字符串保存。这样,客户端在未来请求api时需要出示(发送给服务端)这个JWT
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

    // JWT
    // 第一个参数:payload,这里可以根据喜好来装载jwt的payload
    // 第二个参数:私钥,这里先用硬编码,实际应用时千万不能这么做,应该在环境变量中设置私钥。
    const token = jwt.sign({_id:user._id,name:user.name},'jwtPrivateKey');
    res.send(token);

在这里插入图片描述将该令牌在jwt.io中解析:
在这里插入图片描述如何将私钥存储到环境变量中?
1.先安装config模块
2.新建config文件夹
3.新建默认配置文件default.json

{
    "name":"My express app",
    "jwtPrivateKey":""
}

这里设置为空字符串,真正的值不写在这里,只是为了应用设置了一个模板。
4.创建custom-environment-variables.json
这个文件将映射环境变量和应用设置的关系。

{
    "jwtPrivateKey":"vidly_jwtPrivateKey"
}

5.然后在需要验证的模块引入config模块,将私钥用config.get()替换即可。

const token = jwt.sign({_id:user._id,name:user.name},config.get("jwtPrivateKey"));

6.最后一步便是在index.js中判断应用变量是否设置好,否则我们就要中止运行,因为验证模块将无法工作。

// 检查环境变量是否设置好
if(!config.get('jwtPrivateKey')){
    console.error("FATAL ERROR:jwtPrivateKey is not defined");
    process.exit(1);
}

多做一点:
我们需要在多个模块使用token(返回给客户端),它的有效负载可能会发生更改,这样我们就需要更改多处代码。为了方便起见,我们对token的生成进行封装。考虑到其不属于特定的某个模块,而是属于user的一个功能属性,因此我们在user类中添加generateAuthToken方法:
models/user.js

userSchema.methods.generateAuthToken = function(){
    const token = jwt.sign({_id:this._id,name:this.name},config.get("jwtPrivateKey"));
    return token;
}

在需要生成token时,这样调用:

const token = user.generateAuthToken();
res.send(token);

7.运行前设置环境变量set vidly_jwtPrivateKey=mySecurekKey,记得一定是在管理员权限下设置环境变量。

6.设置response的header

如果我们在用户注册后就直接自动登录,则需要在注册成功时返回给客户端token。我们将user.js内的res.send()改造成这样:

// 设置header
    const token = jwt.sign({_id:user._id,name:user.name},config.get("jwtPrivateKey"));
    res.header('x-auth-token',token).send(_.pick(user,['id','name','email']));

在这里插入图片描述

7.保护路由句柄

在访问某些路由时,需要鉴定用户是否登录,如果没有就需要拒绝请求。
因为有很多路由需要用到鉴权,因此我们将鉴权函数写在中间件中。
在这里插入图片描述

const jwt = require("jsonwebtoken");
const config = require('config');

function auth(req,res,next){
    //读取header,获取令牌
    const token = req.header('x-auth-token');
    //没有令牌的情况
    if(!token){
        return res.status(401).send("访问被拒绝,未提供令牌!");
    }
    //有令牌但验证为非法的情况
    try{
        //如果这个令牌不合法,它会抛出异常
        const decoded = jwt.verify(token,config.get('jwtPrivateKey'));//返回payload
        req.user = decoded;
        //将控制权转给下一个中间函数
        next();
    }
    catch(ex){
        res.status(400).send('不合法的令牌');
    }
}
module.exports = auth;

需要保护的路由句柄:

//增(这里的第二个参数为可选的中间函数)
router.post('/',auth,async (req,res)=>{
    const result = validate(req.body);
    if(result.error){
        res.status(400).send(result.error.details[0].message);
    }
    //console.log(req.body);
    let genre = new Genre({name:req.body.name});
    genre = await genre.save();
    res.send(genre);
});

8.登出

从技术上讲,服务端没有保存任何令牌信息,令牌保存在客户端。因此,登出操作不需要服务端进行任何操作,只需要客户端自行删除token即可。

9.基于角色的授权

在这里插入图片描述admin中间件:
在这里插入图片描述
我们需要控制权限:只有管理员才能进行删除操作。


//删
router.delete("/:id", [auth,admin],async (req,res)=>{
    const result = await Genre.findByIdAndRemove(req.params.id);

    if(!result) return res.status(400).send("该分类不存在!");
    res.send(result)
});

若需要精细化控制,则需要在model中添加角色数组;
在这里插入图片描述

Zijeak
关注
专栏目录
【Egg】egg-jwt+authorization.js权限认证中间件【实现跨域!!!】
Milk~每天分享一点点,技术进步一点点
08-11 1208
egg-jwt+authorization.js权限认证中间件【实现跨域!!!】 跨域配置文件 代码演示 config.default.js /* eslint valid-jsdoc: "off" */ 'use strict'; const os = require('os'); //获取本机ip function getIpAddress() { /**os.networkInterfaces() 返回一个对象,该对象包含已分配了网络地址的网络接口 */ var interfac
JWT_Authentication_Authorization:使用NodeJs构建的REST API,以MongoDB作为数据库,使用JWT令牌对用户进行身份验证授权
05-27
JWT_Authentication_Authorization 使用NodeJ构建的REST API,以MongoDB作为数据库,使用JWT令牌对用户进行身份验证授权
JS实现HTTP请求头-Basic Authorization
weixin_34221036的博客
02-05 7129
HTTP协议中的Authorization请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回401Unauthorized状态码以及WWW-Authenticate消息头之后在后续请求中发送此消息头。 Authorization:Basic c2NhcjoxMjM0NTY= Authorization: <type> <credentials>...
微信支付Authorization参数添加
最新发布
qq_36437991的博客
07-29 456
C# 微信支付Authorization参数添加,Authorization不合法
node.js登陆验证_Node JS中的身份验证授权
weixin_26750481的博客
09-09 1029
node.js登陆验证User authentication & authorization is one of the important part of any web application. There are several kinds of way to handle authentication, we can rely on third party service like...
node authentication
a17909863341的专栏
04-15 438
bcrypt:one way hash jwt: base64 encode/decode
NodeJS完成简单的身份验证
kuangruike的博客
09-21 9591
如今 NodeJs 已经被广泛应用,今天在这里介绍一下使用 NodeJS 实现简单的身份验证过程 -- 包括登录、注册。 本文是我翻译自 Danial Khosravi 博客的一篇文章。简单易懂,而且其将源码放到 GitHub 上,运行即可。 好了。我们开始。使用 NodeJS 完成身份验证的功能,这里除了 express 之外,还需要使用 MongoDB 数据库用于保存和读取
Node-Authentication-With-JWT:可使用jwtJSON Web令牌)处理身份验证Nodejs api
02-13
可以使用JWT处理身份验证NodeJs API。 技术栈: -> bcryptjs [对密码进行哈希处理] ->快递 -> joi [模式验证] -> JWT ->猫鼬 JSON Web令牌: JSON Web令牌是用于创建具有可选签名和/或可选加密的数据的互联网标准,其有效负载包含声明了一些声明的JSON。 令牌使用私钥或公共/私钥进行签名。 例如,服务器可以生成一个令牌,该令牌具有“以管理员身份登录”的声明,并将其提供给客户端。 然后,客户端可以使用该令牌来证明它以管理员身份登录。 令牌可以由一方的私钥(通常是服务器的私钥)签名,以便随后可以验证令牌是合法的。 如果另一方以某种合适且可信赖的方式拥有相应的公钥,则他们也能够验证令牌的合法性。 令牌被设计为紧凑的,URL安全的,并且特别是在Web浏览器单点登录(SSO)上下文中可用。 JWT声明通常可用于在身份提供者和服务提供者之间传
nodejs学习笔记(一):centos7安装node环境
01-20
由于windows环境安装nodejs只需要访问官方网站下载压缩包,解压即可。 首先检查自己是否安装wget,已安装可以跳过这步,未安装则需要先安装:yum install -y wget 用wget下载node包文件: wget ...
About_Node:学习笔记:有关nodejs的一些示例和摘要
05-07
About_Node 1.clawer:nodejs相关的爬虫总结 2.require_way:nodejs模块的加载方式 3.clawer_github_stars:...9.stream nodejs流知识学习(输入输出流,加密解密,压缩解压) 10.graphql Koa+Myql(docker)+graphql相关
nodeJS学习笔记.html
01-02
nodejs 学习笔记 nodejs 学习笔记 nodejs 学习笔记
nodejs-authentication:一个简单的身份验证页面,可让您登录并注册json网络令牌!
05-04
nodejs身份验证 一个简单的身份验证页面,可让您登录并注册json网络令牌!
oauth-authorization-url.js:通用库,用于为OAuth Web流检索GitHub的身份URL
03-15
oauth-authorization-url.js 通用库,用于为OAuth Web流检索GitHub的身份URL 有关请参阅。 请注意, 的略有不同。 GitHub Apps不支持其用户访问令牌的范围(它们被称为GitHub Apps的用户到服务器令牌),而是从GitHub App的注册继承用户权限,并从相应的安装继承存储库/组织访问权限和权限。 用法 浏览器 直接从加载@octokit/oauth-authorization-url < script type =" module " > import { oauthAuthorizationUrl } from "https://cdn.skypack.dev/@octokit/oauth-authorization-url" ; </ script > 节点 使用npm install @octokit/oauth-a
basic-authorization-header.js:用户名和密码中的RFC2617基本授权标头
05-13
基本授权标头 用户名和密码中的RFC2617基本授权标头。 npm install basic-authorization-header --save npm统计 例子 var basic = require ( 'basic-authorization-header' ) ; var headers = { 'Authorization' : basic ( "Aladdin" , "open sesame" ) , } ; //=> { Authorization: 'Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==' } 原料药 basic(user, pass) 论点 user: (String)用户名。 pass: (String)密码。 退货 (String)基本授权标头值。 参考 RFC2617 安全注意事项 增强安全性 http.request(
nodejs-authenticator:使用Passport.js和Mongoose的身份验证
05-12
身份验证器入门 跑步: npm start 这是我们将要构建的: 在用户登录后:
expressjs-authenticate:可配置的快速身份验证中间件
05-05
expressjs认证 可配置的快速身份验证中间件 设置 const { setup, requireAuth } = require('expressjs-authenticate')({ secret: process.env.JWT_SECRET, client, connection, usernameField: 'email' }) ... const app = express() setup(app)
NodeJS学习笔记和代码
05-29
这个"NodeJS学习笔记和代码"的压缩包显然包含了帮助初学者掌握NodeJS基础知识和实践技能的所有必要资料。 首先,`NodeJS第1天笔记.docx`很可能是对NodeJS基础概念的介绍,包括但不限于以下几点: 1. **事件驱动...
nodejs-learning:nodejs学习
06-01
nodejs-学习 nodejs学习
NodeJS深入学习:Net模块详解与应用
Nodejs学习笔记之NET模块,探讨Net模块用于创建Socket服务器和客户端,它是NodeJS数据通信的基础,与Http模块共同构建Tcp层和表现层功能。” 在Node.js中,Net模块是一个核心组件,它允许开发者创建基于TCP的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值