MERN 堆疊中基於角色的身份驗證：完整指南

身份驗證是 Web 應用程式的一個重要方面，確保只有授權使用者才能存取某些資源。基於角色的身份驗證 (RBAC) 更進一步，根據使用者的角色為使用者指派不同的權限。

在這篇文章中，我們將介紹：
✅ 什麼是基於角色的身份驗證？
✅ 為什麼要使用基於角色的身份驗證？
✅ 如何在 MERN Stack 應用程式中實作 RBAC

什麼是基於角色的身份驗證？
基於角色的存取控制 (RBAC) 是一種安全方法，其中為使用者指派角色，每個角色都有特定的權限。

例如，在電子商務應用程式中：

管理員可以新增、編輯或刪除產品。
賣家可以管理自己的商品。
顧客只能查看和購買產品。
這確保使用者只能執行與其角色相關的操作。

為什麼要使用基於角色的身份驗證？
✔ 增強的安全性 – 防止未經授權的存取敏感操作。
✔ 可擴充性 – 隨著系統的成長輕鬆新增角色和權限。
✔ 更好的使用者管理 – 無需修改程式碼即可指派權限。

如何在 MERN Stack 應用程式中實現 RBAC？
1️⃣ 設定使用者模型 (MongoDB Mongoose)
在你的 models/user.model.js 中：

javascript
複製程式碼
const mongoose = require("mongoose");

const UserSchema = new mongoose.Schema({
使用者名稱：{ 類型：字串，必要：true，唯一：true }，
電子郵件：{ 類型：字串，必要：true，唯一：true }，
密碼：{ 類型：字串，必要：true },
角色：{
類型：字串，
列舉：[“管理員”，“賣家”，“客戶”]，
預設值：「客戶」
}
});

module.exports = mongoose.model("User", UserSchema);
？在這裡，每個用戶都有一個角色字段，它決定了他們的權限。

2️⃣ 產生用於身份驗證的 JWT 令牌
在你的controllers/auth.controller.js中：

javascript
複製程式碼
const jwt = require("jsonwebtoken");
const User = require("../models/user.model");

const login = async (req, res) =>; {
const { 電子郵件, 密碼 } = req.body;
const user = wait User.findOne({ email });

if (!user || user.password !== 密碼) {
return res.status(401).json({ message: "無效憑證" });
}

const token = jwt.sign({ userId: user._id, role: user.role }, "SECRET_KEY", { expiresIn: "1h" });

res.json({ token, role: user.role });
};

module.exports = { 登入 };
？此函數產生包含使用者角色的 JWT 令牌。

3️⃣ 建立中間件來限制存取
在 middlewares/auth.middleware.js 中：

javascript
複製程式碼
const jwt = require("jsonwebtoken");

constauthenticate = (req, res, next) =>; {
const token = req.header("授權")?.split(" ")[1];

if (!token) return res.status(403).json({ message: "存取被拒絕" });

嘗試{
const 解碼 = jwt.verify(token, "SECRET_KEY");
req.user = 已解碼;
下一個（）；
} 捕獲（錯誤）{
res.status(401).json({ message: "無效令牌" });
}
};

const 授權 = (角色) => {
返回（請求，res，下一個）=> {
if (!roles.includes(req.user.role)) {
return res.status(403).json({ message: "Forbidden" });
}
下一個（）；
};
};

module.exports = { 驗證、授權 };
？驗證 – 確保只有登入的使用者才能存取路由。
？授權 – 根據角色限制存取。

4️⃣ 依照使用者角色保護路由
在routes/admin.routes.js中：

javascript
複製程式碼
const express = require("express");
const { 驗證、授權 } = require("../middlewares/auth.middleware");

const router = express.Router();

router.get("/admin-dashboard", 驗證, 授權(["admin"]), (req, res) => {
res.json({ message: "歡迎來到管理儀表板" });
});

module.exports = 路由器;
？只有具有 admin 角色的使用者才能存取 /admin-dashboard。

5️⃣ 在 React 中實作基於角色的 UI
在 App.js（前端）：

javascript
複製程式碼
import { useState, useEffect } from "react";
從“axios”導入 axios；

const App = () =>; {
const [role, setRole] = useState(null);

useEffect(() => {
const token = localStorage.getItem("token");
如果（令牌）{
const 解碼 = JSON.parse(atob(token.split(".")[1]));
setRole(decoded.role);
}
}, []);

返回（

歡迎使用 MERN 基於角色的身份驗證

{角色 === "admin" && 管理儀表板}
{角色===「賣家」&&賣家儀表板}
{角色===「客戶」&&客戶儀表板}

);
};

匯出預設應用程式；
？ UI 根據使用者的角色顯示不同的儀表板。

結論
基於角色的身份驗證是現代 Web 應用程式中必不可少的安全措施。透過在 MERN Stack 中實現 RBAC，您可以有效地控制使用者權限。

？後續步驟：
？新增管理員角色管理面板。
？對密碼實施資料庫加密。
？使用刷新令牌以獲得更好的安全性。

想了解更多嗎？在評論中留下你的問題！ ？

以上是MERN 堆疊中基於角色的身份驗證：完整指南的詳細內容。更多資訊請關注PHP中文網其他相關文章！