掌握 Node.js 和 Express 中的身份驗證:綜合指南
- Barbara Streisand原創
- 2024-10-04 16:20:29751瀏覽
身份驗證是現代 Web 應用程式中的重要組成部分,它允許開發人員確保只有授權使用者才能存取特定功能或資料。在基於 Node.js 和 Express 的應用程式中,由於其效率和安全性,通常使用令牌(最常見的是 JSON Web 令牌 (JWT))來處理身份驗證。
在本指南中,我們將探索如何使用 JWT 在 Node.js 和 Express 應用程式中設定使用者身份驗證。最後,您將對如何為自己的專案實施安全身份驗證有一個深入的了解。
什麼是身份驗證?
身份驗證是驗證使用者或系統身分的過程。在 Web 應用程式中,它涉及檢查使用者憑證(例如使用者名稱和密碼)。驗證成功後,系統允許使用者與應用程式互動。為了增強安全性,通常使用基於令牌的身份驗證,例如 JWT。
為什麼要使用 JSON Web 令牌 (JWT)?
JWT 是用於安全且無狀態的基於令牌的身份驗證的行業標準 (RFC 7519)。它們允許資訊作為 JSON 物件在各方之間安全地傳輸。令牌通常用於驗證使用者身份,而不需要在伺服器上儲存會話數據,這使得 JWT 成為無狀態應用程式的絕佳選擇。
分步:在 Node.js 和 Express 中實作身份驗證
讓我們分解一下在 Node.js 和 Express 中使用 JWT 的基本驗證系統的實作。
1.設定您的 Node.js 應用程式
在深入進行身份驗證之前,我們需要設定一個基本的 Node.js 和 Express 應用程式。請依照以下步驟初始化您的項目:
mkdir auth-demo cd auth-demo npm init -y npm install express bcryptjs jsonwebtoken mongoose dotenv
以下是每個相依性的用途:
- express:建構 Node.js 伺服器的框架。
- bcryptjs:安全地散列和比較密碼。
- jsonwebtoken:用於產生和驗證 JWT。
- mongoose:與 MongoDB 互動。
- dotenv:用於管理環境變量,例如機密和資料庫連接字串。
2.配置環境變數
在專案的根目錄中建立一個 .env 檔案來儲存資料庫 URI 和 JWT 金鑰等敏感資訊。
MONGODB_URI=mongodb://localhost:27017/auth-demo JWT_SECRET=your_jwt_secret_key
3.連接到 MongoDB
在專案的根目錄中,在 config 資料夾中建立一個 db.js 檔案來處理 MongoDB 連線。
// config/db.js
const mongoose = require('mongoose');
const dotenv = require('dotenv');
dotenv.config();
const connectDB = async () => {
try {
await mongoose.connect(process.env.MONGODB_URI, {
useNewUrlParser: true,
useUnifiedTopology: true,
});
console.log('MongoDB connected');
} catch (err) {
console.error('Error connecting to MongoDB:', err.message);
process.exit(1);
}
};
module.exports = connectDB;
4.建立使用者模型
接下來,建立一個使用者模型來定義 MongoDB 中使用者文件的結構。在 models 資料夾中,建立 User.js:
// models/User.js
const mongoose = require('mongoose');
const userSchema = new mongoose.Schema({
username: { type: String, required: true, unique: true },
password: { type: String, required: true },
});
module.exports = mongoose.model('User', userSchema);
5.實施使用者註冊
我們現在將設定用戶註冊的路線。在controllers資料夾中,建立一個名為authController.js的檔案並實作註冊邏輯。
// controllers/authController.js
const User = require('../models/User');
const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
// User registration
exports.register = async (req, res) => {
const { username, password } = req.body;
try {
const existingUser = await User.findOne({ username });
if (existingUser) {
return res.status(400).json({ message: 'Username already exists' });
}
const hashedPassword = await bcrypt.hash(password, 10);
const newUser = new User({ username, password: hashedPassword });
await newUser.save();
res.status(201).json({ message: 'User registered successfully' });
} catch (err) {
res.status(500).json({ error: err.message });
}
};
此邏輯在將使用者資訊儲存到 MongoDB 之前,使用 bcrypt 對密碼進行雜湊處理。
6.實現使用者登入
登入對於產生和返回 JWT 至關重要,客戶端將使用 JWT 來驗證未來的請求。以下是如何實作登入邏輯:
// controllers/authController.js (continue)
exports.login = async (req, res) => {
const { username, password } = req.body;
try {
const user = await User.findOne({ username });
if (!user) {
return res.status(401).json({ message: 'Invalid username or password' });
}
const isPasswordValid = await bcrypt.compare(password, user.password);
if (!isPasswordValid) {
return res.status(401).json({ message: 'Invalid username or password' });
}
const token = jwt.sign({ id: user._id }, process.env.JWT_SECRET, { expiresIn: '1h' });
res.json({ token });
} catch (err) {
res.status(500).json({ error: err.message });
}
};
如果登入成功,我們使用jsonwebtoken產生JWT並將其發送給客戶端。
7.為受保護的路由設定中間件
JWT 對於保護需要身份驗證的路由很有用。我們將建立中間件來驗證令牌並確保只有授權使用者才能存取特定端點。
// middleware/authMiddleware.js
const jwt = require('jsonwebtoken');
exports.verifyToken = (req, res, next) => {
const token = req.headers['authorization'];
if (!token) return res.sendStatus(403);
jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
if (err) return res.sendStatus(403);
req.user = user;
next();
});
};
8.應用驗證中間件
最後,讓我們套用中間件來保護路由。例如,您可能希望使用者僅在登入後才能存取其個人資料:
// routes/userRoutes.js
const express = require('express');
const { verifyToken } = require('../middleware/authMiddleware');
const { getUserProfile } = require('../controllers/userController');
const router = express.Router();
router.get('/profile', verifyToken, getUserProfile);
module.exports = router;
verifyToken 中間件檢查請求標頭中是否有有效的 JWT,如果令牌經過驗證,則允許存取路由。
結論
在本指南中,我們介紹了在 Node.js 和 Express 應用程式中使用 JWT 實作使用者驗證的要點。我們逐步完成了使用基於令牌的身份驗證來設定使用者註冊、登入和保護路由的過程。有了這個基礎,您可以在自己的應用程式中建立強大、安全的身份驗證系統。隨著您繼續開發,請考慮新增刷新令牌、密碼重設功能和多重驗證以增強安全性。
通过掌握 Node.js 和 Express 的身份验证,您就可以顺利构建可扩展、安全的 Web 应用程序。
以上是掌握 Node.js 和 Express 中的身份驗證:綜合指南的詳細內容。更多資訊請關注PHP中文網其他相關文章!