身份验证是现代 web 应用程序中的重要组成部分,它允许开发人员确保只有授权用户才能访问特定功能或数据。在基于 node.js 和 express 的应用程序中,由于其效率和安全性,通常使用令牌(最常见的是 json web 令牌 (jwt))来处理身份验证。
在本指南中,我们将探索如何使用 jwt 在 node.js 和 express 应用程序中设置用户身份验证。最后,您将对如何为自己的项目实施安全身份验证有一个深入的了解。
身份验证是验证用户或系统身份的过程。在 web 应用程序中,它涉及检查用户凭据(例如用户名和密码)。验证成功后,系统允许用户与应用程序交互。为了增强安全性,通常使用基于令牌的身份验证,例如 jwt。
jwt 是用于安全且无状态的基于令牌的身份验证的行业标准 (rfc 7519)。它们允许信息作为 json 对象在各方之间安全地传输。令牌通常用于验证用户身份,而不需要在服务器上存储会话数据,这使得 jwt 成为无状态应用程序的绝佳选择。
让我们分解一下在 node.js 和 express 中使用 jwt 的基本身份验证系统的实现。
在深入进行身份验证之前,我们需要设置一个基本的 node.js 和 express 应用程序。请按照以下步骤初始化您的项目:
mkdir auth-demo cd auth-demo npm init -y npm install express bcryptjs jsonwebtoken mongoose dotenv
以下是每个依赖项的用途:
在项目的根目录中创建一个 .env 文件来存储数据库 uri 和 jwt 密钥等敏感信息。
mongodb_uri=mongodb://localhost:27017/auth-demo jwt_secret=your_jwt_secret_key
在项目的根目录中,在 config 文件夹中创建一个 db.js 文件来处理 mongodb 连接。
// config/db.js const mongoose = require('mongoose'); const dotenv = require('dotenv'); dotenv.config(); const connectdb = async () => { try { await mongoose.connect(process.env.mongodb_uri, { usenewurlparser: true, useunifiedtopology: true, }); console.log('mongodb connected'); } catch (err) { console.error('error connecting to mongodb:', err.message); process.exit(1); } }; module.exports = connectdb;
接下来,创建一个用户模型来定义 mongodb 中用户文档的结构。在 models 文件夹中,创建 user.js:
// models/user.js const mongoose = require('mongoose'); const userschema = new mongoose.schema({ username: { type: string, required: true, unique: true }, password: { type: string, required: true }, }); module.exports = mongoose.model('user', userschema);
我们现在将设置用户注册的路线。在controllers文件夹中,创建一个名为authcontroller.js的文件并实现注册逻辑。
// controllers/authcontroller.js const user = require('../models/user'); const bcrypt = require('bcryptjs'); const jwt = require('jsonwebtoken'); // user registration exports.register = async (req, res) => { const { username, password } = req.body; try { const existinguser = await user.findone({ username }); if (existinguser) { return res.status(400).json({ message: 'username already exists' }); } const hashedpassword = await bcrypt.hash(password, 10); const newuser = new user({ username, password: hashedpassword }); await newuser.save(); res.status(201).json({ message: 'user registered successfully' }); } catch (err) { res.status(500).json({ error: err.message }); } };
此逻辑在将用户信息存储到 mongodb 之前,使用 bcrypt 对密码进行哈希处理。
登录对于生成和返回 jwt 至关重要,客户端将使用 jwt 来验证未来的请求。下面是如何实现登录逻辑:
// controllers/authcontroller.js (continue) exports.login = async (req, res) => { const { username, password } = req.body; try { const user = await user.findone({ username }); if (!user) { return res.status(401).json({ message: 'invalid username or password' }); } const ispasswordvalid = await bcrypt.compare(password, user.password); if (!ispasswordvalid) { return res.status(401).json({ message: 'invalid username or password' }); } const token = jwt.sign({ id: user._id }, process.env.jwt_secret, { expiresin: '1h' }); res.json({ token }); } catch (err) { res.status(500).json({ error: err.message }); } };
如果登录成功,我们使用jsonwebtoken生成jwt并将其发送给客户端。
jwt 对于保护需要身份验证的路由很有用。我们将创建中间件来验证令牌并确保只有授权用户才能访问特定端点。
// middleware/authmiddleware.js const jwt = require('jsonwebtoken'); exports.verifytoken = (req, res, next) => { const token = req.headers['authorization']; if (!token) return res.sendstatus(403); jwt.verify(token, process.env.jwt_secret, (err, user) => { if (err) return res.sendstatus(403); req.user = user; next(); }); };
最后,让我们应用中间件来保护路由。例如,您可能希望用户仅在登录后才能访问其个人资料:
// routes/userRoutes.js const express = require('express'); const { verifyToken } = require('../middleware/authMiddleware'); const { getUserProfile } = require('../controllers/userController'); const router = express.Router(); router.get('/profile', verifyToken, getUserProfile); module.exports = router;
verifytoken 中间件检查请求标头中是否有有效的 jwt,如果令牌经过验证,则允许访问路由。
在本指南中,我们介绍了在 node.js 和 express 应用程序中使用 jwt 实现用户身份验证的要点。我们逐步完成了使用基于令牌的身份验证设置用户注册、登录和保护路由的过程。有了这个基础,您可以在自己的应用程序中构建强大、安全的身份验证系统。随着您继续开发,请考虑添加刷新令牌、密码重置功能和多重身份验证以增强安全性。
通过掌握 node.js 和 express 的身份验证,您就可以顺利构建可扩展、安全的 web 应用程序。