node.js - 如何在此示例中使用 Passport 实现 JWT
问题描述
我正在设置服务器,并希望在用户登录后用 JWT 响应用户。我现在正在使用护照,但不知道在这种情况下如何实现验证 JWT。
以下是登录路径:
app.route('/login')
.get(users.renderLogin)
.post(users.auth);
当用户登录时,我向他的令牌发送一些信息:
exports.auth = function (req, res, next){
passport.authenticate('local', {session: false}, (err, user, info) => {
if (err) { return next(err); }
console.log(err);
if (!user) { return res.redirect('/login'); }
req.logIn(user, function(err) {
if (err) { return next(err); }
// Loged in
const userInfo = {
username: user.username,
name: user.name,
age: user.age,
groupid: user.groupid,
email: user.email,
}
const token = jwt.sign(userInfo, process.env.JWT_SEC);
res.json({
user,
token
})
// res.redirect('/');
});
})(req, res, next);
};
之后,我需要在每个用户调用中验证 JWT 令牌。有人有任何提示吗?
谢谢
解决方案
从护照:
Passport 的唯一目的是验证请求,它通过一组称为策略的可扩展插件来完成。
此外,来自本地护照:
本地身份验证策略使用用户名和密码对用户进行身份验证。该策略需要一个验证回调,它接受这些凭据并为用户提供完成的调用。
因此,passport 的本地策略只会验证同时使用 ausername和 apassword提供的请求。因此,客户端每次想要访问应用程序时都必须发送这些凭据。
因此,要使用 Web 令牌对请求进行身份验证,您需要提供一个设置 JWT 的登录过程。(然后客户端只需发送令牌,无需每次都存储和传输明文密码)
为此,npm 上有很多可用的包。我个人使用并推荐jsonwebtoken
用户模型
假设您有一个用户模型,例如
const UserSchema = new mongoose.Schema({
email: {
type: String,
unique: true,
required: true,
maxlength: 254,
trim: true,
match: /(?:[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(?:(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(?:(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9]))\.){3}(?:(2(5[0-5]|[0-4][0-9])|1[0-9][0-9]|[1-9]?[0-9])|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])/
// Ref : RFC 5322 compliant regex
// Visualizer : https://regexper.com/#(%3F%3A%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B(%3F%3A%5C.%5Ba-z0-9!%23%24%25%26'*%2B%2F%3D%3F%5E_%60%7B%7C%7D~-%5D%2B)*%7C%22(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21%5Cx23-%5Cx5b%5Cx5d-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)*%22)%40(%3F%3A(%3F%3A%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%5C.)%2B%5Ba-z0-9%5D(%3F%3A%5Ba-z0-9-%5D*%5Ba-z0-9%5D)%3F%7C%5C%5B(%3F%3A(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D))%5C.)%7B3%7D(%3F%3A(2(5%5B0-5%5D%7C%5B0-4%5D%5B0-9%5D)%7C1%5B0-9%5D%5B0-9%5D%7C%5B1-9%5D%3F%5B0-9%5D)%7C%5Ba-z0-9-%5D*%5Ba-z0-9%5D%3A(%3F%3A%5B%5Cx01-%5Cx08%5Cx0b%5Cx0c%5Cx0e-%5Cx1f%5Cx21-%5Cx5a%5Cx53-%5Cx7f%5D%7C%5C%5C%5B%5Cx01-%5Cx09%5Cx0b%5Cx0c%5Cx0e-%5Cx7f%5D)%2B)%5C%5D)
// SFSM : https://en.wikipedia.org/wiki/Finite-state_machine
// Xcrowzz' note : Seems to work for 99.99% of email addresses, containing either local, DNS zone and/or IPv4/v6 addresses.
// Xcrowzz' note : Regex can be targeted for Catastrophic Backtracking (https://www.regular-expressions.info/catastrophic.html) ; See https://www.npmjs.com/package/vuln-regex-detector to check them before someone DDOS your app.
},
password: {
type: String,
required: true,
minlength: 8,
maxlength: 254,
select: false
},
username: {
type: String,
required: false,
unique: true,
maxlength: 254
}
});
module.exports = mongoose.model('User', UserSchema);
用户控制器
现在,是时候实现 JWT 生成和签名了,这应该在用户成功登录时完成。也就是说,当正文请求中的username和password提供的都与数据库匹配时(不要忘记将明文密码与哈希进行比较存储使用bcrypt.compare)
const jwt = require('jsonwebtoken');
[...]
exports.logUser = async (req, res) => {
if (!req.body.email || !req.body.password) { return res.status(400).send('Bad Request');}
else {
await UserModel.findOne({ email: req.body.email }, async (err, user) => {
if (err) return res.status(500).send('Internal Server Error');
if (!user) return res.status(404).send('Not Found');
let passwordIsValid = await bcrypt.compare(req.body.password, user.password);
if (passwordIsValid) {
let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 }); // 24 Hours
return res.status(200).send({ auth : true, token: token });
} else {
return res.status(404).send('Not Found');
}
}).select('+password'); // Overrides model's 'select:false' property of the password model's property in order to compare it with given plaintext pwd.
}
};
笔记
let token = jwt.sign({ id: user._id }, secret, { expiresIn: 86400 });基于 anid和 a 先前定义secret的应该是一个非常长且随机的字符串创建令牌,令牌的整体完整性和安全性可能会被一个弱的secret.
这是 JWT 最基本的配置,一些研究会证明你的代码还没有准备好生产。但在你的情况下,这会成功。
认证控制器
最后,您必须设计将提供的令牌与先前签名的令牌进行比较的身份验证中间件。再一次,它使用secret来比较它们。
const secret = (process.env.TokenSuperSecret) ?
process.env.TokenSuperSecret : 'SuperSecret';
const jwt = require('jsonwebtoken');
const passport = require('passport');
const CustomStrategy = require('passport-custom');
passport.use('jwt', new CustomStrategy(async (req, callback, err) => {
const token = req.headers['x-access-token'];
if (!token) return callback(err);
await jwt.verify(token, secret, (err, decoded) => {
if (err) return callback(err);
req.userId = decoded.id;
callback(null, req);
});
}));
exports.isAuthenticated = passport.authenticate('jwt', {
session: false
}, null);
笔记
jwt.verify(token, secret, (err, decoded) => {}返回一个包含(您在登录过程中decoded userId编码的)的承诺。jwt.sign随意将它传递给您的中间件,以了解当前正在执行请求的用户。
这么久,感谢所有的鱼!
推荐阅读
- variables - 在 HAProxy 配置监听中使用环境变量不起作用
- angular - Hyperleger Fabric 是如何根据简单使用命令创建的网络为您自动生成 Angular 应用程序和 Rest api 的?
- jquery - 使用 Jquery 的购物车问题
- javascript - 如何通过 JavaScript 添加额外的字段
- amazon-ec2 - 安装在 AWS EC2 中的 Openfire 服务器意外停止工作
- javascript - 使用 Nativescript 为 web、android 和 ios 构建库
- reactjs - 我怎样才能开玩笑地测试这个功能?
- c++ - 如何将 sf::RenderWindow 传递给另一个函数?
- c++ - 尝试使用 QNetworkAccessManager get() 而不是 QNetworkAccessManager post() 发送文件
- ios - 如何在uipageviewcontroller swift中转换时隐藏导航栏