在 Node.js 中进行身份验证的正确方法 [uide]
![The Right Way to do Authentication in Node.js [uide]](https://img.php.cn/upload/article/000/000/000/173400530157538.jpg)
身份验证是后端开发中最关键但经常被误解的方面之一。由于其复杂性,开发人员经常转向第三方解决方案,例如 Auth0 或 Supabase。虽然这些都是优秀的工具,但构建您自己的身份验证系统可以提供更大的灵活性和控制力。
在本指南中,您将了解如何以最少的依赖关系为 Express.js API 服务实现简单的身份验证中间件。到最后,您将拥有:
- 功能齐全的用户名密码验证。
- 与 PostgreSQL 集成来存储用户帐户。
- 基于 JWT 的身份验证中间件。
- 通过自动重用检测刷新令牌以增强安全性。
本指南注重简单性,避免使用诸如 Passport.js 之类的包来降低复杂性。
设置用户帐户表
首先,创建一个 PostgreSQL 表来存储用户帐户:
CREATE TABLE users (
"id" SERIAL PRIMARY KEY,
"username" VARCHAR(255) UNIQUE NOT NULL,
"password" VARCHAR(255) NOT NULL,
"email" VARCHAR(255) UNIQUE,
"created_at" TIMESTAMP NOT NULL DEFAULT NOW()
);
JWT 身份验证中间件
接下来,创建 JWT 身份验证中间件来保护 API 端点。此示例使用对称加密。对于微服务架构,请考虑使用带有公钥/私钥对的非对称加密。
中间件代码(/src/middleware/jwt.ts):
import jwt from "jsonwebtoken";
const JWT_SECRET_KEY = process.env.JWT_SECRET_KEY as string; // Randomly generated. Min length: 64 characters
export const protectedRoute: RequestHandler = async (req, _, next) => {
const authHeader = req.header("authorization");
if (!authHeader) {
return next(notAuthenticated());
}
const accessToken = authHeader.replace(new RegExp("\b[Bb]earer\s"), "");
try {
const { userId } = validateJWT(accessToken);
const user = await userRepository.getUserById(parseInt(userId));
if (user) {
req.user = user;
next();
} else {
next(invalidAccessToken());
}
} catch (err) {
next(invalidAccessToken());
}
};
const validateJWT = (token: string, verifyOptions?: jwt.VerifyOptions) => {
const jwtVerifyOptions = Object.assign(
{ algorithms: "HS256" },
verifyOptions,
{
issuer: "yourAPI.com",
audience: "yourAPI.com:client",
}
);
return jwt.verify(token, JWT_SECRET_KEY, jwtVerifyOptions) as T;
};
使用中间件来保护路由:
import { protectedRoute } from "@/middleware/jwt";
router.get("/user", protectedRoute, async (req, res, next) => {
const user = req.user!;
res.json({ user });
});
创建身份验证控制器
现在,实现用于注册和登录的控制器:
注册控制器:
import argon from "argon2";
const signup = async (props) => {
const { username, password, email } = props;
await userRepo.getUser(username).then((res) => {
if (res !== null) throw usernameNotAvailable();
});
const hashedPass = await argon.hash(password, {
timeCost: 2,
parallelism: 1,
memoryCost: 19456,
});
const newUser = await createUser({
username,
hashedPass,
email,
});
const refreshToken = await generateRefreshToken(newUser.userId);
const accessToken = generateAccessToken(newUser.userId);
const { password: _, ...userRes } = newUser;
return { user: userRes, accessToken, refreshToken };
};
登录控制器:
const login = async (props) => {
const { username, password } = props;
const user = await getUser(username).then((res) => {
if (res === null) throw invalidLoginCredentials();
return res;
});
const isOk = await argon.verify(user.password, password);
if (isOk) {
const refreshToken = await generateRefreshToken(user.userId);
const accessToken = generateAccessToken(user.userId);
const { password: _, ...userRes } = user;
return { user: userRes, accessToken, refreshToken };
}
throw invalidLoginCredentials();
};
存储刷新令牌
刷新令牌提供长期身份验证。让我们创建一个数据库表来存储它们:
CREATE TABLE refresh_tokens (
"id" SERIAL PRIMARY KEY,
"token" UUID NOT NULL DEFAULT gen_random_uuid(),
"token_family" UUID NOT NULL DEFAULT gen_random_uuid(),
"user_id" INTEGER NOT NULL REFERENCES users(id) ON DELETE CASCADE,
"active" BOOLEAN DEFAULT true,
"expires_at" TIMESTAMP NOT NULL,
"created_at" TIMESTAMP NOT NULL DEFAULT NOW()
);
代币生成器:
import jwt from "jsonwebtoken";
const JWT_SECRET_KEY = process.env.JWT_SECRET_KEY as string; // Randomly generated. Min length: 64 characters
const generateAccessToken = (userId: number) => {
const jwtSignOptions = Object.assign(
{ algorithm: "HS256" },
{},
{
issuer: "yourAPI.com",
audience: "yourAPI.com:client",
}
);
return jwt.sign({ userId: userId.toString() }, JWT_SECRET_KEY, jwtSignOptions);
};
const generateRefreshToken = async (userId: number, tokenFamily?: string) => {
const expAt = new Date(new Date().getTime() + 31 * 24 * 60 * 60 * 1000); // Expire in 31 days
const refreshTokenExp = expAt.toISOString();
const token = await createTokenQuery({
userId,
tokenFamily,
expiresAt: refreshTokenExp,
});
return token;
};
刷新令牌逻辑:
实现逻辑来安全地处理刷新令牌:
const refreshToken = async ({ token }: RefreshTokenSchema) => {
const tokenData = await getRefreshToken(token);
if (!tokenData) throw forbiddenError();
const { userId, tokenFamily, active } = tokenData;
if (active) {
// Token is valid and hasn't been used yet
const newRefreshToken = await generateRefreshToken(userId, tokenFamily);
const accessToken = generateAccessToken(userId);
return { accessToken, refreshToken: newRefreshToken };
} else {
// Previously refreshed token used, invalidate all tokens in family
await invalidateRefreshTokenFamily(tokenFamily);
throw forbiddenError();
}
};
在这篇 Auth0 文章中了解有关刷新令牌和自动重用检测的更多信息。
结论
通过遵循本指南,您已经为 Node.js API 构建了一个简单、安全的身份验证系统,并且依赖性最小。这种方法可确保您拥有完全控制权并遵守现代最佳安全实践。
如果您想节省时间和精力,请查看 Vratix。我们的开源 CLI 可以在几秒钟内建立一个功能齐全的 Node.js 项目并进行身份验证。在 GitHub 上探索我们完全实现的身份验证模块。
本指南对您有帮助吗?请在评论中告诉我们,或通过 X 与我们联系!
以上是在 Node.js 中进行身份验证的正确方法 [uide]的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
Python vs. JavaScript:学习曲线和易用性
Apr 16, 2025 am 12:12 AM
Python更适合初学者,学习曲线平缓,语法简洁;JavaScript适合前端开发,学习曲线较陡,语法灵活。1.Python语法直观,适用于数据科学和后端开发。2.JavaScript灵活,广泛用于前端和服务器端编程。
JavaScript和Web:核心功能和用例
Apr 18, 2025 am 12:19 AM
JavaScript在Web开发中的主要用途包括客户端交互、表单验证和异步通信。1)通过DOM操作实现动态内容更新和用户交互;2)在用户提交数据前进行客户端验证,提高用户体验;3)通过AJAX技术实现与服务器的无刷新通信。
JavaScript在行动中:现实世界中的示例和项目
Apr 19, 2025 am 12:13 AM
JavaScript在现实世界中的应用包括前端和后端开发。1)通过构建TODO列表应用展示前端应用,涉及DOM操作和事件处理。2)通过Node.js和Express构建RESTfulAPI展示后端应用。
了解JavaScript引擎:实施详细信息
Apr 17, 2025 am 12:05 AM
理解JavaScript引擎内部工作原理对开发者重要,因为它能帮助编写更高效的代码并理解性能瓶颈和优化策略。1)引擎的工作流程包括解析、编译和执行三个阶段;2)执行过程中,引擎会进行动态优化,如内联缓存和隐藏类;3)最佳实践包括避免全局变量、优化循环、使用const和let,以及避免过度使用闭包。
Python vs. JavaScript:社区,图书馆和资源
Apr 15, 2025 am 12:16 AM
Python和JavaScript在社区、库和资源方面的对比各有优劣。1)Python社区友好,适合初学者,但前端开发资源不如JavaScript丰富。2)Python在数据科学和机器学习库方面强大,JavaScript则在前端开发库和框架上更胜一筹。3)两者的学习资源都丰富,但Python适合从官方文档开始,JavaScript则以MDNWebDocs为佳。选择应基于项目需求和个人兴趣。
Python vs. JavaScript:开发环境和工具
Apr 26, 2025 am 12:09 AM
Python和JavaScript在开发环境上的选择都很重要。1)Python的开发环境包括PyCharm、JupyterNotebook和Anaconda,适合数据科学和快速原型开发。2)JavaScript的开发环境包括Node.js、VSCode和Webpack,适用于前端和后端开发。根据项目需求选择合适的工具可以提高开发效率和项目成功率。
C/C在JavaScript口译员和编译器中的作用
Apr 20, 2025 am 12:01 AM
C和C 在JavaScript引擎中扮演了至关重要的角色,主要用于实现解释器和JIT编译器。 1)C 用于解析JavaScript源码并生成抽象语法树。 2)C 负责生成和执行字节码。 3)C 实现JIT编译器,在运行时优化和编译热点代码,显着提高JavaScript的执行效率。
Python vs. JavaScript:比较用例和应用程序
Apr 21, 2025 am 12:01 AM
Python更适合数据科学和自动化,JavaScript更适合前端和全栈开发。1.Python在数据科学和机器学习中表现出色,使用NumPy、Pandas等库进行数据处理和建模。2.Python在自动化和脚本编写方面简洁高效。3.JavaScript在前端开发中不可或缺,用于构建动态网页和单页面应用。4.JavaScript通过Node.js在后端开发中发挥作用,支持全栈开发。
