在 Node.js 中实现身份验证与授权

于 2024-08-16 15:14:38 发布
阅读量227 收藏 10
点赞数 9
分类专栏: Node.js 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanlong12178/article/details/141260560
版权

在 Node.js 中实现身份验证与授权

在现代Web应用中,身份验证和授权扮演着至关重要的角色。实现一个安全的身份验证和授权机制既能保护用户的数据安全,又能提高用户体验。在本文中,我们将使用 Node.js 来实现简单的身份验证与授权,特别是使用 JSON Web Token (JWT)。

什么是身份验证与授权?

  • 身份验证是验证用户身份的过程,确保用户是他们所声称的那个人。
  • 授权是在身份验证之后,确定用户对某些资源的访问权限。

接下来,我们将通过实现一个简单的用户注册、登录和基于JWT的授权系统来展示如何在 Node.js 中完成这些过程。

环境准备

在开始之前,确保你已经安装了 Node.js 和 npm。然后,你可以使用以下步骤来初始化一个新的 Node.js 项目:

mkdir node-auth-example
cd node-auth-example
npm init -y

接下来,安装所需的依赖项:

npm install express mongoose bcrypt jsonwebtoken dotenv
  • express:我们将要使用的 web 框架。
  • mongoose:MongoDB ODM,用于处理 MongoDB 数据库。
  • bcrypt:用于 hashing 用户密码。
  • jsonwebtoken:用于生成和验证 JWT。
  • dotenv:用于加载环境变量。

创建基本的项目结构

创建一个 server.js 文件作为我们的应用入口,并创建一个 models 目录来存放用户模型。

touch server.js
mkdir models
touch models/User.js

定义用户模型

models/User.js 文件中,我们将定义用户模型。这里我们使用 Mongoose 来创建一个用户的Schema。

// models/User.js
const mongoose = require('mongoose');

const userSchema = new mongoose.Schema({
    username: { 
        type: String, 
        required: true, 
        unique: true 
    },
    password: { 
        type: String, 
        required: true 
    }
});

const User = mongoose.model('User', userSchema);
module.exports = User;

实现注册与登录功能

server.js 中,首先设置 Express 应用:

// server.js
const express = require('express');
const mongoose = require('mongoose');
const bcrypt = require('bcrypt');
const jwt = require('jsonwebtoken');
const User = require('./models/User');
require('dotenv').config();

const app = express();
app.use(express.json());

mongoose.connect('mongodb://localhost:27017/auth-example', { 
    useNewUrlParser: true, 
    useUnifiedTopology: true 
})
.then(() => console.log('MongoDB connected'))
.catch(err => console.log(err));

// 用户注册
app.post('/register', async (req, res) => {
    const { username, password } = req.body;

    // 检查用户是否已经存在
    const existingUser = await User.findOne({ username });
    (existingUser) {
        return res.status(400).send('User already exists');
    }

    // 哈希密码
    const hashedPassword = await bcrypt.hash(password, 10);

    // 创建新用户
    const user = new User({
        username,
        password: hashedPassword
    });

    await user.save();
    res.send('User registered successfully');
});

// 用户登录
app.post('/login', async (req, res) => {
    const { username, password } = req.body;

    // 查找用户
    const user = await User.findOne({ username });
    if (!user) {
        return res.status(400).send('Invalid credentials');
    }

    // 验证密码
    const isPasswordValid = await bcrypt.compare(password, user.password);
    if (!isPasswordValid) {
        return res.status(400).send('Invalid credentials');
    }

    // 生成JWT
    const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
    res.json({ token });
});

实现授权中间件

接下来,我们需要一个中间件来验证每个请求中的 JWT,并确保用户已通过身份验证。

// middleware/auth.js
const jwt = require('jsonwebtoken');

function authenticateToken(req, res, next) {
    const token = req.headers['authorization']?.split(' ')[1];
    if (!token) return res.sendStatus(403);

    jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
        if (err) return res.sendStatus(403);
        req.user = user;
        next();
    });
}

module.exports = authenticateToken;

保护路由

现在,我们可以使用我们创建的 authenticateToken 中间件来保护某些路由,仅允许经过身份验证的用户访问这些路径。

// 受保护的路由
app.get('/protected', authenticateToken, (req, res) => {
    res.send(`Welcome user with ID: ${req.user.id}`);
});

完整代码

确保你的 server.js 文件看起来像这样:

const express = require('express');
const mongoose = require('mongoose');
const bcrypt = require('bcrypt');
const jwt = require('jsonwebtoken');
const User = require('./models/User');
const authenticateToken = require('./middleware/auth');
require('dotenv').config();

const app = express();
app.use(express.json());

mongoose.connect('mongodb://localhost:27017/auth-example', { 
    useNewUrlParser: true, 
    useUnifiedTopology: true 
})
.then(() => console.log('MongoDB connected'))
.catch(err => console.log(err));

// 用户注册
app.post('/register', async (req, res) => {
    const { username, password } = req.body;
    const existingUser = await User.findOne({ username });
    if (existingUser) {
        return res.status(400).send('User already exists');
    }
    const hashedPassword = await bcrypt.hash(password, 10);
    const user = new User({ username, password: hashedPassword });
    await user.save();
    res.send('User registered successfully');
});

// 用户登录
app.post('/login', async (req, res) => {
    const { username, password } = req.body;
    const user = await User.findOne({ username });
    if (!user) {
        return res.status(400).send('Invalid credentials');
    }
    const isPasswordValid = await bcrypt.compare(password, user.password);
    if (!isPasswordValid) {
        return res.status(400).send('Invalid credentials');
    }
    const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
    res.json({ token });
});

// 受保护的路由
app.get('/protected', authenticateToken, (req, res) => {
    res.send(`Welcome user with ID: ${req.user.id}`);
});

const PORT = process.env.PORT || 5000;
app.listen(PORT, () => {
    console.log(`Server running on port ${PORT}`);
});

运行应用

为了运行你的 Node.js 应用程序,确保设置了一个 JWT_SECRET.env 文件中:

JWT_SECRET=yoursecretkey

然后,你可以运行你的应用程序:

node server.js

你可以使用 Postman 或任何其他 API 测试工具来测试注册、登录和访问受保护的路由。

结语

通过以上步骤,我们实现了一个基本的身份验证与授权机制。尽管这个例子相对简单,但它为你提供了一个良好的基础,你可以在此基础上构建更复杂的系统。在实际应用中,你可能还需要考虑其他安全性因素,比如加密存储、HTTPS、刷新 token 等等。

最后问候亲爱的朋友们,并邀请你们阅读我的全新著作

在这里插入图片描述

JJCTO袁龙
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Node.js使用jwt或session实现前后端身份认证
SongD1114的博客
04-03 1198
Node.js通过session或jwt身份认证
Node.js-Node.jsExpress.js身份验证API样板
08-10
**Node.js与Express.js简介** Node.js是一款基于Chrome V8引擎的...在`node-express-api-auth-master`项目,我们可以深入研究其代码实现,了解身份验证的具体细节,这对于学习和实践Web应用安全有着重要的价值。
Node.js如何实现用户身份验证授权
有我更精彩的博客
02-25 704
当涉及到构建安全的应用程序时,用户身份验证授权是至关重要的一环。在Node.js,我们可以利用一些流行的库和技术来实现这些功能,确保我们的应用程序具有所需的安全性。本篇博客将介绍如何在Node.js实现用户身份验证授权
Node.js从基础到高级运用】十二、身份验证授权:JWT
Vip_wk的博客
03-14 1367
本文介绍了如何在Node.js应用实现用户身份验证授权,特别是通过使用Node.js、Express和MongoDB实现JWT基于的身份验证授权的全面指导,包括注册、登录和访问受保护资源的流程。这为构建安全的Web应用程序奠定了坚实的基础。
其他内容:使用 Node.js 进行 JWT 身份验证
新华编程特战队
03-16 890
有几种方法可以将信息从一方传输到另一方。非常重要的是,共享的信息不受任何第三方的干扰。智威汤逊是检查传输数据有效性的方法之一。JSON 的无状态、轻量级和流行等功能使 JWT 成为最兼容和最易于使用的。基于开放标准 (RFC 7519) 的 JSON Web 令牌是一种基于 JSON 的方法,用于通过网络传输数据。它是一种紧凑且自包含的方法,其使用身份提供程序提供的私钥或公钥对对数据进行数字签名。这允许参与传输的各方验证数据的完整性和真实性。
Node.js实现邮箱验证码的发送与验证
weixin_44955769的博客
01-08 3628
在实际开发,可能会遇到注册时提供邮箱验证码的需求。在Node.js是可以实现的。以下分享一些我的开发经验。 开发环境 Node.js Express Mongoose MongoDB 邮箱验证码思路 验证码发送阶段 客户端上传邮箱地址到服务端,服务端通过生成随机验证码,并将这个验证码发送到用户上传的这个邮箱。此时服务端需要将这个邮箱和验证码保存到数据库的某张表(后文使用Code来称呼这个表),同时保证这条记录的唯一性。并在有效时间内将这条记录删除(此时间就是验证码的有效时间) 验证码.
node.js登陆验证_Node JS身份验证授权
weixin_26750481的博客
09-09 1021
node.js登陆验证User authentication & authorization is one of the important part of any web application. There are several kinds of way to handle authentication, we can rely on third party service like...
Node.js:JavaScript世界的全能工具
前端全栈大佬
11-06 1080
探索Node.js作为流行的服务器端JavaScript运行时的无限可能性,从基础知识到高级技巧,了解如何利用其强大功能构建出色的网络应用程序。
(Node笔记)Node.js安装及环境配置——史诗级详细版
热门推荐
张松的博客
06-22 5万+
(Node笔记)Node.js安装及环境配置——史诗级详细版
node.js的Token鉴权机制
mengxiaodi的博客
12-18 278
Token鉴权作为一种常见的身份验证授权方式,具有简单、灵活、安全等优点。通过本文的介绍,相信大家对Token鉴权有了更深入的了解。在实际项目,可以根据业务需求和场景选择合适的Token生成和验证方式,实现安全可靠的身份验证授权功能。
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
在本文,我们将深入探讨如何使用Node.js、Express框架以及JSON Web Tokens (JWT)来实现一个用户登录的校验及权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证与授权。 首先,我们需要了解...
Node.JS如何实现JWT原理
10-14
JSON Web Token (JWT) 是一种安全的身份验证授权机制,常用于无状态的Web应用程序,如基于Node.js的API服务。JWT通过一个自包含的数字签名来确保数据完整性和防止篡改。下面是关于JWT和Node.js实现JWT的详细解释:...
Node.js-node-express|实现登录验证和授权
08-09
在本文,我们将深入探讨如何使用Node.js和Express框架实现登录验证和授权Node.js作为一个强大的服务器端JavaScript运行环境,配合Express,可以构建高效、灵活的Web应用。在这个"Node.js-node-express|实现登录...
Node.js-egg.js账户验证服务
08-10
本主题主要关注如何在Egg.js实现账户验证服务,这是任何Web应用的关键部分,用于确保用户身份的安全性和数据的完整性。 ### 1. 身份认证基础 身份认证(Authentication)是验证用户身份的过程,通常通过用户名...
Node.js、npm和ng之间的关系
qq_68874993的博客
08-12 521
Node.js提供了JavaScript的运行环境,npm提供了管理JavaScript模块和包的工具,而ng(Angular CLI)则是Angular框架的一个强大工具集,它们共同构成了现代Web开发的强大生态系统。
Node.js 作为 JavaScript 服务器端运行时的特性及其与浏览器环境的区别
qq_45831414的博客
08-12 359
通过理解Node.js与浏览器环境之间的区别,开发者可以更好地选择合适的工具和技术栈来满足他们的开发需求。
child_process.spawn简介
计算机图形学
08-14 334
Node.js 模块的一个重要方法,它用于异步地创建子进程来执行指定的命令。下面是对。
child_process.spawn打开记事本后,是否可以监听用户输入的数据?
最新发布
计算机图形学
08-14 362
如果你需要读取或写入记事本的文本内容,你将需要使用不同的方法,比如通过 Windows API、自动化工具(如 AutoIt 或 PyAutoGUI)或模拟用户输入来实现。这些方法超出了 Node.js。)本身并不通过标准输出(stdout)或标准错误(stderr)来提供其内部文本数据。实际上,记事本是一个图形用户界面(GUI)应用程序,它不会将其内容输出到命令行或终端。来启动记事本,并监听一些进程事件,比如启动、退出等。打开记事本并监听其文本数据,你需要知道记事本(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JJCTO袁龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值