在 Node.js 中实现用户认证与授权

于 2024-08-30 15:09:16 发布
阅读量1k 收藏 19
点赞数 7
分类专栏: Node.js 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanlong12178/article/details/141718895
版权

在 Node.js 中实现用户认证与授权

在现代Web应用中,用户认证与授权是至关重要的一环。无论是一个简单的博客系统,还是一个复杂的电子商务平台,都需要确保用户的身份是可信的,同时根据用户的角色或权限提供不同的访问级别。本文将介绍如何在 Node.js 中实现基本的用户认证与授权,并附带示例代码为您提供参考。

一、基础概念

在谈论用户认证和授权之前,首先要了解这两个概念的区别:

  • 用户认证(Authentication):验证用户的身份,确认用户是谁。这通常通过用户名和密码来实现。
  • 用户授权(Authorization):确认用户是否有权限执行某个操作,决定用户可以做什么。

二、技术栈

在本篇文章中,我们将使用以下技术栈:

  • Node.js:作为JavaScript的运行环境。
  • Express.js:一个简洁的Web框架,用于构建Web服务器。
  • MongoDB:一个NoSQL数据库,用于存储用户数据。
  • Mongoose:MongoDB的对象建模工具,可以简化与数据库的交互。
  • JWT(JSON Web Token):用于在网络应用中安全地传递信息。

三、环境搭建

1. 安装Node.js和相关依赖

首先确保你本地安装了 Node.js 和 npm。然后可以使用以下命令创建一个新的项目:

mkdir user-auth-example
cd user-auth-example
npm init -y

接下来安装所需的依赖项:

npm install express mongoose bcryptjs jsonwebtoken dotenv

2. 创建基本的目录结构

在项目根目录下,创建一个server.js文件和一个名为models的文件夹。

四、构建用户模型

models文件夹中创建一个User.js文件,用于定义用户模型。

// models/User.js

const mongoose = require('mongoose');
const bcrypt = require('bcryptjs');

const userSchema = new mongoose.Schema({
    username: {
        type: String,
        required: true,
        unique: true
    },
    password: {
        type: String,
        required: true
    }
});

// 密码加密
userSchema.pre('save', async function(next) {
    if (!this.isModified('password')) return next();
    this.password = await bcrypt.hash(this.password, 10);
    next();
});

// 密码比较
userSchema.methods.comparePassword = async function(password) {
    return await bcrypt.compare(password, this.password);
};

module.exports = mongoose.model('User', userSchema);

在这个文件中,我们定义了一个用户模型,包括用户名和密码字段。在用户保存到数据库之前,密码会被加密。在比较密码时,我们使用bcrypt来处理。

五、搭建Express应用

在根的server.js文件中,搭建基本的Express应用。

// server.js

const express = require('express');
const mongoose = require('mongoose');
require('dotenv').config();

const app = express();
app.use(express.json());

const PORT = process.env.PORT || 5000;

// 连接 MongoDB 数据库
mongoose.connect(process.env.MONGODB_URI, { useNewUrlParser: true, useUnifiedTopology: true })
    .then(() => console.log('MongoDB connected'))
    .catch(err => console.error(err));

// 用户注册接口
app.post('/api/register', async (req, res) => {
    const { username, password } = req.body;

    try {
        const newUser = new (require('./models/User'))({ username, password });
        await newUser.save();
        res.status(201).send('User registered');
    } catch (err) {
        res.status(400).send(err.message);
    }
});

// 用户登录接口
app.post('/api/login', async (req, res) => {
    const { username, password } = req.body;

    const User = require('./models/User');
    const user = await User.findOne({ username });

    if (!user || !(await user.comparePassword(password))) {
        return res.status(401).send('Invalid credentials');
    }

    const token = require('jsonwebtoken').({ userId: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
    res.json({ token });
});

// 启动服务器
app.listen(PORT, () => {
    console.log(`Server is running on port ${PORT}`);
});

在这个文件中,我们设置了两个API,一个用于用户注册,另一个用于用户登录。在用户成功登录后,我们会生成一个JWT,并将其发送回客户端。

六、用户授权

为了演示用户授权,我们将创建一个简单的中间件,用于检查用户是否已登录。

// middleware/auth.js

const jwt = require('jsonwebtoken');

const authenticate = (req, res, next) => {
    const token = req.header('Authorization').replace('Bearer ', '');
    
    if (!token) return res.status(401).send('Access denied. No token provided.');

    try {
        const decoded = jwt.verify(token, process.env.JWT_SECRET);
        req.user = decoded;
        next();
    } catch (ex) {
        res.status(400).send('Invalid token.');
    }
};

module.exports = authenticate;

现在,我们可以在有需要进行用户权限控制的路由中使用这个中间件。

1. 受保护的路由示例

server.js中添加一个受保护的路由:

// 获取用户信息接口
.get('/api/profile', authenticate, (req, res) => {
    res.send(`Hello, your user ID is: ${req.user.userId}`);
});

当用户登录后,可以使用生成的JWT访问/api/profile路由,响应时服务器将返回用户ID。

七、总结

到现在为止,我们已经在Node.js中实现了一个基本的用户认证和授权体系。我们使用了Express框架、MongoDB数据库以及JWT进行身份验证和授权。通过这种方式,我们不仅能够确保用户身份的正确性,同时也能根据权限管理用户的访问。

最后问候亲爱的朋友们,并邀请你们阅读我的全新著作

书籍详情

在这里插入图片描述

JJCTO袁龙
关注
专栏目录
NodeJSAuth:NodeJS启动服务器API,使用Express来处理JWT授权用户和角色管理,登录和尝试,密码加密等。 完善的NodeJS API初始化项目,内置所有核心身份验证功能,为其他软件提供了坚实的起点
05-10
NodeJSAuth 介绍 这是一个NodeJs启动项目,旨在使用Express初始化一个新的后端API应用程序,其已经内置了所有用户管理和身份验证功能。 该存储库具有四个预构建端点:添加新用户,获取所有用户的列表,认证和登录用户以及获取所有用户数据。 启动应用程序的核心是JWT(Json Web令牌)授权。 端点受api键和要访问的访问JWT的保护,当然除了登录路由外。 角色管理,登录尝试和ip跟踪,密码解密等等,都已初始化并且可以使用。 没有将数据库连接到该API,而是使用txt文件系统来模拟该API,以便用户可以在项目的后面将自己选择的数据库连接到服务器。 可以在resources文件夹(用户和signInLogs .txt)找到模拟数据库的所有数据。 另外,对于前端测试,尤其是使用JWT服务器集成的前端测试,已经部署并初始化了基本API。 有关如何使用它以及更多信息,请阅
node-auth:采用nodejs编写的权限管理系统,通过URL转发,反向代理实现。集成身份验证,用户管理等功能
03-11
节点授权 简介 一个采用nodejs编写网关。主要功能有: HTTP请求的转发 对HTTP请求进行身份认证,权限管理。 实现用户管理,角色管理 截图
node.js----数据库,身份认证:Session,JWT
m0_63348818的博客
03-13 346
文章目录数据库和身份认证Node 操作 mysql配置 mysql 模块操作 mysql 数据库Web 开发模式服务端渲染前后端分离如何选择身份认证Session 认证机制Session 工作原理Express 使用 Session 认证JWT 认证机制JWT 工作原理Express 使用 JWT 数据库和身份认证 Node 操作 mysql 配置 mysql 模块 1.安装 mysql 模块 npm install mysql 2.建立连接 const mysql = require('mysql')
node.js登陆验证_Node JS的身份验证和授权
weixin_26750481的博客
09-09 1035
node.js登陆验证User authentication & authorization is one of the important part of any web application. There are several kinds of way to handle authentication, we can rely on third party service like...
node关于身份认证
weixin_43959222的博客
10-11 330
什么是身份认证 身份认证,又称"身份验证",“鉴权”,是指通过一定的手段,完成对用户身份的确认,例如: 各大网站的手机验证码登录 邮箱密码登录 二维码登录 为什么需要身份认证 1.身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户 例如: 你去找快递员取快递,你要怎么证明这份快递是你的 2.不同开发模式下的身份认证 对于服务端渲染 和前后端分离这两种开发模式来说,分别有着不同的身份认证方案 服务端渲染推荐使用Session认证机制 前后端分离推荐使用JWT认证机制 sess
Node.js-nodeexpressjwt实现一个用户登录的校验以及权限拦截服务端验证
08-10
在本文,我们将深入探讨如何使用Node.js、Express框架以及JSON Web Tokens (JWT)来实现一个用户登录的校验及权限拦截系统。这个系统的主要目标是确保服务端的安全性,进行用户认证授权。 首先,我们需要了解...
微信小程序+Node.js 构建的失物招领平台源码.zip
07-08
在这个项目Node.js可能被用作后端服务器,处理来自微信小程序的请求,实现数据的存储和检索,以及用户认证等逻辑。 3. 数据库集成: 虽然没有明确指出,但通常Node.js应用程序会结合数据库进行数据管理。可能...
Node.JS如何实现JWT原理
10-14
为了实现用户身份验证和授权,需要引入会话管理技术,如Cookie、Session和JWT。Cookie和Session通常需要服务器存储状态信息,而JWT则允许服务器在不保存会话数据的情况下进行状态管理。 2. **Session和Cookie** ...
Node.js-一个授权库支持Node.js的ACLRBACABAC等访问控制模型
08-10
Node.js的开发,身份认证和访问控制是至关重要的部分,确保了系统的安全性和用户数据的保护。本文将深入探讨标题提到的"Node.js-一个授权库支持Node.js的ACLRBACABAC等访问控制模型",以及其相关的知识点。 ...
利用Node.JS实现邮件发送功能
10-21
Node.js环境实现邮件发送功能是一个常见的需求,特别是在自动化任务、通知系统或者用户服务。本篇文章将详细介绍如何利用Node.js的nodemailer库来实现这一功能。 首先,要使用nodemailer库,需要通过npm...
node-auth:这是一个帮助使用nodejs创建api的项目
02-03
节点认证 这是一个可帮助您使用nodejs创建api的项目,使用此工具包,您将避免一开始就使用身份验证和MongoDB作为数据库。 如何使用 要使用它,您将需要有一台mongodb服务器并将其在config.js上的配置更改为src文件夹。 如果使用项目的docker-compose文件将其运行到Docker,则无需特别注意(mongo服务器)。 config.js module . exports = { database : 'mongodb://localhost:27017/node-auth' } ; 或对于docker用户: module . exports = { database : 'mongodb://database/node-auth' } ; 运行API 1 - git clone https://github.com/abdalla/node-auth.git 2 - npm install 3 - npm start 用于Docker 1 - git clone https://github.com/abdalla/node-auth.
nodejs auth 模拟发送
changliangwl的专栏
08-10 949
auth var request = require("request"); request.post( { url:'http://user:password@127.0.0.1:8441', json: true, headers: { "content-type": "application/json", }, body:{ "id":"1", "jsonrpc&quot
Nodejs七、身份认证
李宥的博客
06-16 717
- `身份认证`(Authentication)又称“身份验证”、“鉴权”,是指`通过一定的手段,完成对用户身份的确认`。 - 在 Web 开发,也涉及到用户身份的认证,例如:各大网站的`手机验证码登录、邮箱密码登录、二维码登录`等。
使用 Node.js 搭建 API 网关
量子前端的博客
11-01 699
什么是前端UI自动化测试平台?由于部门的业务域非常广,项目体量也很足,大约有100+项目,10条业务线,因此需要这样前端基建来保证业务的强交付、高质量。业务层:在前端可以添加多个项目,提供预发、生产的域名、项目负责人,对已有项目具备主动执行项目所有测试用例的能力;应用层:存储在自动化测试平台服务端项目,保存各个项目的测试用例,通过来执行pkg的jest测试命令,例如执行A项目的测试用例即,对应;
游戏主程进阶|全栈游戏开发NodeJs<使用TypeScript>服务器+最新CocosCreator联网五子棋游戏
GFanStudio的专栏
04-29 766
游戏主程进阶|全栈游戏开发NodeJs服务器+最新CocosCreator联网五子棋游戏
大厂为啥都要用Node去写间层(BFF)呢?
最新发布
2401_83384536的博客
06-27 1022
大家好,我是考拉🐨BFF是一种Web架构,全名为Backends For Frontends,即为服务于前端的后端。这个词来源于Sam Newman的一篇文章:Pattern: Backends For Frontends[1]。BFF一般指的是在前端与后端之间加增加一个间层。为什么要在前端和后端之间增加一个BFF层呢?计算机科学的所有问题都可以通过加一层来解决。因此,需要使用BFF的场景,肯定是普通的前后端开发模式遇到了部分问题。
全方位解析Node.js:从模块系统、文件操作、事件循环、异步编程、性能优化、网络编程等高级开发到后端服务架构最佳实践以及Serverless服务部署指南
JINGWHALE
05-04 1338
本指南探索Node.js深度精髓,囊括模块构建、文件操作实战、事件循环剖析、异步编程技巧、性能调优策略、网络编程艺术,以及后端架构最佳实践,再辅以Serverless部署的前沿攻略,为开发者铺就一条从基础到高级、理论到应用的全方位学习路径。
node jwt权限校验
qq_56303170的博客
04-15 1561
JWT权限校验 每当用户登录的时候,后端将传递给前端一个token,此后前端每次发送请求都会携带token JWT的常用方法介绍 生成token jwt.sign(payload, secretOrPrivateKey, [options, callback]) payload:json对象或者是可json化的buffer或字符串,这个对象可以存储用户id,会话信息等,这里的信息都是可以使用jwt.verify()方法拿到的.。 secretOrPrivateKey:密钥 options:参数,JSO
node.js用户认证授权
08-16
Node.js,可以使用不同的方法来实现用户认证授权。一个常见的方法是使用Session认证机制,这可以通过在服务器端渲染使用。另一个方法是使用JWT认证机制,这适用于前后端分离的开发模式。以下是对这两种方法的简要介绍: 1. Session认证机制:Session认证是一种基于服务器端的身份认证机制。它的实现方式是,在用户登录时,服务器会为该用户创建一个唯一的会话标识(通常是一个Session ID),并将该会话标识存储在服务器的内存或数据库。随后,每次用户发送请求时,服务器会检查请求是否包含有效的会话标识,并验证该会话标识的有效性。如果验证通过,则认为用户是合法的,可以授予相应的权限。Session认证机制可以结合其他技术(如Cookie)来实现用户的持久登录状态。这种方法适用于服务器端渲染的开发模式。 2. JWT认证机制:JWT(JSON Web Token)是一种基于令牌的身份认证机制,适用于前后端分离的开发模式。它的实现方式是,在用户登录成功后,服务器会生成一个JWT令牌,并将其返回给客户端。客户端在后续的请求,将该令牌作为身份认证的凭证发送给服务器。服务器接收到令牌后,会对其进行验证,并解析出其用户信息。JWT令牌包含了用户的身份信息以及一些签名信息,因此具有防伪造的特性。使用JWT认证机制可以在前后端分离的情况下实现用户认证授权。 总结起来,在Node.js,可以使用Session认证机制或JWT认证机制来实现用户认证授权,具体选择哪种方法取决于开发模式和需求。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Node.js使用jwt或session实现前后端身份认证](https://blog.csdn.net/SongD1114/article/details/123932616)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [Node.js的Web后端开发调研](https://blog.csdn.net/fireroll/article/details/127465892)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JJCTO袁龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值