身份驗證是 Web 應用程式的一個重要方面,確保只有授權使用者才能存取某些資源。基於角色的身份驗證 (RBAC) 更進一步,根據使用者的角色為使用者指派不同的權限。
在這篇文章中,我們將介紹:
✅ 什麼是基於角色的身份驗證?
✅ 為什麼要使用基於角色的身份驗證?
✅ 如何在 MERN Stack 應用程式中實作 RBAC
什麼是基於角色的身份驗證?
基於角色的存取控制 (RBAC) 是一種安全方法,其中為使用者指派角色,每個角色都有特定的權限。
例如,在電子商務應用程式中:
管理員可以新增、編輯或刪除產品。
賣家可以管理自己的商品。
顧客只能查看和購買產品。
這確保使用者只能執行與其角色相關的操作。
為什麼要使用基於角色的身份驗證?
✔ 增強的安全性 – 防止未經授權的存取敏感操作。
✔ 可擴充性 – 隨著系統的成長輕鬆新增角色和權限。
✔ 更好的使用者管理 – 無需修改程式碼即可指派權限。
如何在 MERN Stack 應用程式中實現 RBAC?
1️⃣ 設定使用者模型 (MongoDB Mongoose)
在你的 models/user.model.js 中:
javascript
複製程式碼
const mongoose = require("mongoose");
const UserSchema = new mongoose.Schema({
使用者名稱:{ 類型:字串,必要:true,唯一:true },
電子郵件:{ 類型:字串,必要:true,唯一:true },
密碼:{ 類型:字串,必要:true },
角色:{
類型:字串,
列舉:[“管理員”,“賣家”,“客戶”],
預設值:「客戶」
}
});
module.exports = mongoose.model("User", UserSchema);
?在這裡,每個用戶都有一個角色字段,它決定了他們的權限。
2️⃣ 產生用於身份驗證的 JWT 令牌
在你的controllers/auth.controller.js中:
javascript
複製程式碼
const jwt = require("jsonwebtoken");
const User = require("../models/user.model");
const login = async (req, res) =>; {
const { 電子郵件, 密碼 } = req.body;
const user = wait User.findOne({ email });
if (!user || user.password !== 密碼) {
return res.status(401).json({ message: "無效憑證" });
}
const token = jwt.sign({ userId: user._id, role: user.role }, "SECRET_KEY", { expiresIn: "1h" });
res.json({ token, role: user.role });
};
module.exports = { 登入 };
?此函數產生包含使用者角色的 JWT 令牌。
3️⃣ 建立中間件來限制存取
在 middlewares/auth.middleware.js 中:
javascript
複製程式碼
const jwt = require("jsonwebtoken");
constauthenticate = (req, res, next) =>; {
const token = req.header("授權")?.split(" ")[1];
if (!token) return res.status(403).json({ message: "存取被拒絕" });
嘗試{
const 解碼 = jwt.verify(token, "SECRET_KEY");
req.user = 已解碼;
下一個();
} 捕獲(錯誤){
res.status(401).json({ message: "無效令牌" });
}
};
const 授權 = (角色) => {
返回(請求,res,下一個)=> {
if (!roles.includes(req.user.role)) {
return res.status(403).json({ message: "Forbidden" });
}
下一個();
};
};
module.exports = { 驗證、授權 };
?驗證 – 確保只有登入的使用者才能存取路由。
?授權 – 根據角色限制存取。
4️⃣ 依照使用者角色保護路由
在routes/admin.routes.js中:
javascript
複製程式碼
const express = require("express");
const { 驗證、授權 } = require("../middlewares/auth.middleware");
const router = express.Router();
router.get("/admin-dashboard", 驗證, 授權(["admin"]), (req, res) => {
res.json({ message: "歡迎來到管理儀表板" });
});
module.exports = 路由器;
?只有具有 admin 角色的使用者才能存取 /admin-dashboard。
5️⃣ 在 React 中實作基於角色的 UI
在 App.js(前端):
javascript
複製程式碼
import { useState, useEffect } from "react";
從“axios”導入 axios;
const App = () =>; {
const [role, setRole] = useState(null);
useEffect(() => {
const token = localStorage.getItem("token");
如果(令牌){
const 解碼 = JSON.parse(atob(token.split(".")[1]));
setRole(decoded.role);
}
}, []);
返回(
匯出預設應用程式;
? UI 根據使用者的角色顯示不同的儀表板。
結論
基於角色的身份驗證是現代 Web 應用程式中必不可少的安全措施。透過在 MERN Stack 中實現 RBAC,您可以有效地控制使用者權限。
?後續步驟:
?新增管理員角色管理面板。
?對密碼實施資料庫加密。
?使用刷新令牌以獲得更好的安全性。
想了解更多嗎?在評論中留下你的問題! ?
以上是MERN 堆疊中基於角色的身份驗證:完整指南的詳細內容。更多資訊請關注PHP中文網其他相關文章!
