認証は最新の Web アプリケーションの重要なコンポーネントであり、これにより開発者は承認されたユーザーのみが特定の機能やデータにアクセスできるようになります。 Node.js および Express ベースのアプリケーションでは、認証は通常、効率性とセキュリティの理由からトークン (最も一般的には JSON Web トークン (JWT)) を使用して処理されます。
このガイドでは、JWT を使用して Node.js および Express アプリケーションでユーザー認証を設定する方法を説明します。最後には、独自のプロジェクトに安全な認証を実装する方法をしっかりと理解できるようになります。
認証とは何ですか?
認証は、ユーザーまたはシステムの身元を確認するプロセスです。 Web アプリケーションでは、ユーザー名やパスワードなどのユーザー資格情報のチェックが含まれます。検証が成功すると、システムはユーザーがアプリケーションを操作できるようにします。セキュリティを強化するには、JWT などのトークンベースの認証が一般的に使用されます。
JSON Web トークン (JWT) を使用する理由
JWT は、安全でステートレスなトークンベースの認証のための業界標準 (RFC 7519) です。これにより、関係者間で情報を JSON オブジェクトとして安全に送信できるようになります。トークンは、セッション データをサーバーに保存することなくユーザーの身元を確認するためによく使用されるため、JWT はステートレス アプリケーションにとって最適な選択肢となります。
ステップバイステップ: Node.js と Express での認証の実装
Node.js と Express で JWT を使用した基本認証システムの実装を詳しく見てみましょう。
1. Node.js アプリケーションのセットアップ
認証に入る前に、基本的な Node.js と Express アプリケーションをセットアップする必要があります。次の手順に従ってプロジェクトを初期化します:
mkdir auth-demo
cd auth-demo
npm init -y
npm install express bcryptjs jsonwebtoken mongoose dotenv
ログイン後にコピー
各依存関係の目的は次のとおりです:
-
express: Node.js サーバーを構築するためのフレームワーク。
-
bcryptjs: パスワードを安全にハッシュ化して比較します。
-
jsonwebtoken: JWT の生成と検証用。
-
mongoose: MongoDB と対話します。
-
dotenv: シークレットやデータベース接続文字列などの環境変数を管理します。
2.環境変数の構成
プロジェクトのルート ディレクトリに .env ファイルを作成し、データベース URI や JWT 秘密キーなどの機密情報を保存します。
MONGODB_URI=mongodb://localhost:27017/auth-demo
JWT_SECRET=your_jwt_secret_key
ログイン後にコピー
3. MongoDB への接続
プロジェクトのルートで、MongoDB 接続を処理するための db.js ファイルを config フォルダー内に作成します。
// config/db.js
const mongoose = require('mongoose');
const dotenv = require('dotenv');
dotenv.config();
const connectDB = async () => {
try {
await mongoose.connect(process.env.MONGODB_URI, {
useNewUrlParser: true,
useUnifiedTopology: true,
});
console.log('MongoDB connected');
} catch (err) {
console.error('Error connecting to MongoDB:', err.message);
process.exit(1);
}
};
module.exports = connectDB;
ログイン後にコピー
4.ユーザーモデルの作成
次に、MongoDB でユーザー ドキュメントの構造を定義するユーザー モデルを作成します。 models フォルダー内に User.js:
を作成します。
// models/User.js
const mongoose = require('mongoose');
const userSchema = new mongoose.Schema({
username: { type: String, required: true, unique: true },
password: { type: String, required: true },
});
module.exports = mongoose.model('User', userSchema);
ログイン後にコピー
5.ユーザー登録の実施
ユーザー登録のためのルートを設定していきます。コントローラーフォルダーで、authController.js というファイルを作成し、登録ロジックを実装します。
// controllers/authController.js
const User = require('../models/User');
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
// User registration
exports.register = async (req, res) => {
const { username, password } = req.body;
try {
const existingUser = await User.findOne({ username });
if (existingUser) {
return res.status(400).json({ message: 'Username already exists' });
}
const hashedPassword = await bcrypt.hash(password, 10);
const newUser = new User({ username, password: hashedPassword });
await newUser.save();
res.status(201).json({ message: 'User registered successfully' });
} catch (err) {
res.status(500).json({ error: err.message });
}
};
ログイン後にコピー
このロジックは、ユーザーの情報を MongoDB に保存する前に、bcrypt を使用してパスワードをハッシュします。
6.ユーザーログインの実装
ログインは、クライアントが今後のリクエストを認証するために使用する JWT を生成して返すために重要です。ログイン ロジックを実装する方法は次のとおりです:
// controllers/authController.js (continue)
exports.login = async (req, res) => {
const { username, password } = req.body;
try {
const user = await User.findOne({ username });
if (!user) {
return res.status(401).json({ message: 'Invalid username or password' });
}
const isPasswordValid = await bcrypt.compare(password, user.password);
if (!isPasswordValid) {
return res.status(401).json({ message: 'Invalid username or password' });
}
const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
res.json({ token });
} catch (err) {
res.status(500).json({ error: err.message });
}
};
ログイン後にコピー
ログインが成功すると、jsonwebtoken を使用して JWT を生成し、クライアントに送信します。
7.保護されたルート用のミドルウェアのセットアップ
JWT は、認証が必要なルートを保護するのに役立ちます。トークンを検証し、承認されたユーザーのみが特定のエンドポイントにアクセスできるようにするミドルウェアを作成します。
// middleware/authMiddleware.js
const jwt = require('jsonwebtoken');
exports.verifyToken = (req, res, next) => {
const token = req.headers['authorization'];
if (!token) return res.sendStatus(403);
jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
if (err) return res.sendStatus(403);
req.user = user;
next();
});
};
ログイン後にコピー
8.認証ミドルウェアの適用
最後に、ルートを保護するミドルウェアを適用しましょう。たとえば、ユーザーがログイン後にのみ自分のプロファイルにアクセスできるようにしたい場合があります。
// routes/userRoutes.js
const express = require('express');
const { verifyToken } = require('../middleware/authMiddleware');
const { getUserProfile } = require('../controllers/userController');
const router = express.Router();
router.get('/profile', verifyToken, getUserProfile);
module.exports = router;
ログイン後にコピー
verifyToken ミドルウェアはリクエストのヘッダー内の有効な JWT をチェックし、トークンが検証された場合はルートへのアクセスを許可します。
結論
このガイドでは、Node.js および Express アプリケーションで JWT を使用してユーザー認証を実装する基本事項について説明しました。ユーザー登録、ログイン、トークンベースの認証を使用したルートの保護の設定について説明しました。この基盤を使用すると、独自のアプリケーションで堅牢で安全な認証システムを構築できます。開発を続ける場合は、セキュリティを強化するために、リフレッシュ トークン、パスワード リセット機能、多要素認証の追加を検討してください。
Wenn Sie die Authentifizierung mit Node.js und Express beherrschen, sind Sie auf dem besten Weg, skalierbare, sichere Webanwendungen zu erstellen.
以上がNode.js と Express での認証をマスターする: 包括的なガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
