首頁 > web前端 > js教程 > 主體

掌握 Node.js 和 Express 中的身份驗證:綜合指南

Barbara Streisand
發布: 2024-10-04 16:20:29
原創
759 人瀏覽過

Mastering Authentication in Node.js and Express: A Comprehensive Guide

身份驗證是現代 Web 應用程式中的重要組成部分,它允許開發人員確保只有授權使用者才能存取特定功能或資料。在基於 Node.js 和 Express 的應用程式中,由於其效率和安全性,通常使用令牌(最常見的是 JSON Web 令牌 (JWT))來處理身份驗證。

在本指南中,我們將探索如何使用 JWT 在 Node.js 和 Express 應用程式中設定使用者身份驗證。最後,您將對如何為自己的專案實施安全身份驗證有一個深入的了解。

什麼是身份驗證?

身份驗證是驗證使用者或系統身分的過程。在 Web 應用程式中,它涉及檢查使用者憑證(例如使用者名稱和密碼)。驗證成功後,系統允許使用者與應用程式互動。為了增強安全性,通常使用基於令牌的身份驗證,例如 JWT。

為什麼要使用 JSON Web 令牌 (JWT)?

JWT 是用於安全且無狀態的基於令牌的身份驗證的行業標準 (RFC 7519)。它們允許資訊作為 JSON 物件在各方之間安全地傳輸。令牌通常用於驗證使用者身份,而不需要在伺服器上儲存會話數據,這使得 JWT 成為無狀態應用程式的絕佳選擇。

分步:在 Node.js 和 Express 中實作身份驗證

讓我們分解一下在 Node.js 和 Express 中使用 JWT 的基本驗證系統的實作。

1.設定您的 Node.js 應用程式

在深入進行身份驗證之前,我們需要設定一個基本的 Node.js 和 Express 應用程式。請依照以下步驟初始化您的項目:


mkdir auth-demo
cd auth-demo
npm init -y
npm install express bcryptjs jsonwebtoken mongoose dotenv


登入後複製

以下是每個相依性的用途:

  • express:建構 Node.js 伺服器的框架。
  • bcryptjs:安全地散列和比較密碼。
  • jsonwebtoken:用於產生和驗證 JWT。
  • mongoose:與 MongoDB 互動。
  • dotenv:用於管理環境變量,例如機密和資料庫連接字串。

2.配置環境變數

在專案的根目錄中建立一個 .env 檔案來儲存資料庫 URI 和 JWT 金鑰等敏感資訊。


MONGODB_URI=mongodb://localhost:27017/auth-demo
JWT_SECRET=your_jwt_secret_key


登入後複製

3.連接到 MongoDB

在專案的根目錄中,在 config 資料夾中建立一個 db.js 檔案來處理 MongoDB 連線。


// config/db.js
const mongoose = require('mongoose');
const dotenv = require('dotenv');

dotenv.config();

const connectDB = async () => {
  try {
    await mongoose.connect(process.env.MONGODB_URI, {
      useNewUrlParser: true,
      useUnifiedTopology: true,
    });
    console.log('MongoDB connected');
  } catch (err) {
    console.error('Error connecting to MongoDB:', err.message);
    process.exit(1);
  }
};

module.exports = connectDB;


登入後複製

4.建立使用者模型

接下來,建立一個使用者模型來定義 MongoDB 中使用者文件的結構。在 models 資料夾中,建立 User.js:


// models/User.js
const mongoose = require('mongoose');

const userSchema = new mongoose.Schema({
  username: { type: String, required: true, unique: true },
  password: { type: String, required: true },
});

module.exports = mongoose.model('User', userSchema);


登入後複製

5.實施使用者註冊

我們現在將設定用戶註冊的路線。在controllers資料夾中,建立一個名為authController.js的檔案並實作註冊邏輯。


// controllers/authController.js
const User = require('../models/User');
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');

// User registration
exports.register = async (req, res) => {
  const { username, password } = req.body;

  try {
    const existingUser = await User.findOne({ username });
    if (existingUser) {
      return res.status(400).json({ message: 'Username already exists' });
    }

    const hashedPassword = await bcrypt.hash(password, 10);
    const newUser = new User({ username, password: hashedPassword });

    await newUser.save();
    res.status(201).json({ message: 'User registered successfully' });
  } catch (err) {
    res.status(500).json({ error: err.message });
  }
};


登入後複製

此邏輯在將使用者資訊儲存到 MongoDB 之前,使用 bcrypt 對密碼進行雜湊處理。

6.實現使用者登入

登入對於產生和返回 JWT 至關重要,客戶端將使用 JWT 來驗證未來的請求。以下是如何實作登入邏輯:


// controllers/authController.js (continue)
exports.login = async (req, res) => {
  const { username, password } = req.body;

  try {
    const user = await User.findOne({ username });
    if (!user) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }

    const isPasswordValid = await bcrypt.compare(password, user.password);
    if (!isPasswordValid) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }

    const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
    res.json({ token });
  } catch (err) {
    res.status(500).json({ error: err.message });
  }
};


登入後複製

如果登入成功,我們使用jsonwebtoken產生JWT並將其發送給客戶端。

7.為受保護的路由設定中間件

JWT 對於保護需要身份驗證的路由很有用。我們將建立中間件來驗證令牌並確保只有授權使用者才能存取特定端點。


// middleware/authMiddleware.js
const jwt = require('jsonwebtoken');

exports.verifyToken = (req, res, next) => {
  const token = req.headers['authorization'];
  if (!token) return res.sendStatus(403);

  jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
};


登入後複製

8.應用驗證中間件

最後,讓我們套用中間件來保護路由。例如,您可能希望使用者僅在登入後才能存取其個人資料:


// routes/userRoutes.js
const express = require('express');
const { verifyToken } = require('../middleware/authMiddleware');
const { getUserProfile } = require('../controllers/userController');

const router = express.Router();

router.get('/profile', verifyToken, getUserProfile);

module.exports = router;


登入後複製

verifyToken 中間件檢查請求標頭中是否有有效的 JWT,如果令牌經過驗證,則允許存取路由。

結論

在本指南中,我們介紹了在 Node.js 和 Express 應用程式中使用 JWT 實作使用者驗證的要點。我們逐步完成了使用基於令牌的身份驗證來設定使用者註冊、登入和保護路由的過程。有了這個基礎,您可以在自己的應用程式中建立強大、安全的身份驗證系統。隨著您繼續開發,請考慮新增刷新令牌、密碼重設功能和多重驗證以增強安全性。

通过掌握 Node.js 和 Express 的身份验证,您就可以顺利构建可扩展、安全的 Web 应用程序。

以上是掌握 Node.js 和 Express 中的身份驗證:綜合指南的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:dev.to
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板