在 Web 开发中,用户登录和权限鉴定是非常重要的一环,尤其在企业级应用中更是必不可少。本文将介绍如何使用 Koa2 和 JWT 实现用户登录和权限鉴定。
什么是 Koa2 和 JWT
Koa2 是一个基于 Node.js 平台的 Web 开发框架,它的设计理念是中间件(middleware)优先,通过一系列的中间件来处理 HTTP 请求和响应。Koa2 比 Express 更加轻量级,且使用了 ES6 的语法。
JWT(JSON Web Token)是一种基于 JSON 的开放标准,用于在网络上传输信息。JWT 由三部分组成:头部、载荷和签名。头部和载荷都是 JSON 对象,签名是通过对头部、载荷和密钥进行加密生成的字符串。JWT 可以用于身份验证和信息传输,常用于 Web 应用中的用户认证和授权。
实现用户登录
首先,我们需要创建一个 Koa2 应用并安装一些依赖:
--- ---- -- --- ------- --- ---------- -------------- ------------ --------
其中,koa-router 用于处理路由,koa-bodyparser 用于解析请求体中的 JSON 数据,jsonwebtoken 用于生成和验证 JWT,bcryptjs 用于密码加密和验证。
接下来,我们创建一个 users.js 文件,用于存储用户信息:
----- ----- - - - --- -- --------- -------- --------- --------------------------------------------------------------- -- ------- ------ ----- -------- -- - --- -- --------- ------- --------- --------------------------------------------------------------- -- ------- ------ ----- ------- -- --
我们使用 bcryptjs 对密码进行加密,这样即使用户信息被泄露也不会暴露明文密码。
然后,我们创建一个 login.js 文件,用于处理用户登录:
----- --- - ------------------------ ----- ------ - -------------------- ----- ----- - ------------------- ----- ------ - ----------- -------- ----------------- - ----- ------- - - --- -------- --------- -------------- ----- --------- -- ----- ----- - ----------------- ------- - ---------- ---- --- ------ ------ - ----- -------- ---------- - ----- - --------- -------- - - ----------------- ----- ---- - --------------- -- ------------- --- ---------- -- ------- - -------------- -------- ----------- - ----- ------- - ----- ------------------------ --------------- -- ---------- - -------------- -------- ----------- - ----- ----- - ------------------ -------- - - ----- -- - -------------- - ------
我们首先获取请求体中的用户名和密码,然后在 users 中查找用户信息。如果用户不存在,我们使用 ctx.throw 抛出 401 错误,表示未授权。如果用户存在,我们使用 bcrypt.compare 方法比较密码是否匹配。如果密码不匹配,同样使用 ctx.throw 抛出 401 错误。如果密码匹配,我们使用 createToken 函数生成 JWT,并将其返回给客户端。
createToken 函数使用 jwt.sign 方法生成 JWT,其中 payload 是我们需要传递的信息,secret 是加密密钥,expiresIn 是 JWT 的有效期。我们可以根据需求调整有效期。在实际应用中,我们应该将密钥存储在环境变量中,而不是直接写在代码中。
最后,我们创建一个 index.js 文件,用于启动 Koa2 应用和设置路由:
----- --- - --------------- ----- ------ - ---------------------- ----- ---------- - -------------------------- ----- ----- - ------------------- ----- --- - --- ------ ----- ------ - --- --------- --------------------- ------- ---------------------- ------------------------- ---------------- -- -- - ------------------- -- ------- -- ------------------------ ---
我们使用 bodyParser 中间件解析请求体中的 JSON 数据,并设置路由为 /login,并将其处理函数设置为 login。最后,我们启动应用并监听 3000 端口。
现在,我们可以使用 Postman 或其他客户端发送 POST 请求到 http://localhost:3000/login,请求体中包含用户名和密码,如下所示:
- ----------- -------- ----------- -------- -
如果用户名和密码正确,服务器将返回一个包含 JWT 的响应体,如下所示:
- -------- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- -
如果用户名或密码错误,服务器将返回一个包含错误信息的响应体,如下所示:
- ---------- -------- --------- -
实现权限鉴定
在用户登录成功后,我们需要对用户进行权限鉴定。我们可以在路由中间件中使用 JWT 鉴定用户是否具有访问该路由的权限。我们可以将用户角色存储在 JWT 中,然后在路由中间件中获取用户角色并进行鉴定。
我们修改一下 users.js 文件,将用户角色修改为数组:
----- ----- - - - --- -- --------- -------- --------- --------------------------------------------------------------- ------ --------- -------- -- - --- -- --------- ------- --------- --------------------------------------------------------------- ------ --------- -- --
然后,我们创建一个 auth.js 文件,用于鉴定用户权限:
----- --- - ------------------------ ----- ------ - ----------- -------- ------------------ - ------ --- ----------------- ------- -- - ----------------- ------- ----- -------- -- - -- ----- - ------------ - ---- - ----------------- - --- --- - -------- ----------- - ------ ----- ----- ----- -- - ----- ----- - ------------------------------------------ ------ -- -------- - -------------- -------------- ------ --- -------- - --- - ----- ------- - ----- ------------------- -- ----------------- -- ----------------------------- - -------------- ------------- - ----- ------- - ----- ----- - -------------- ------------- - -- - -------------- - -----
我们首先定义了一个 verifyToken 函数,用于验证 JWT 是否有效。如果 JWT 有效,函数将返回一个包含 JWT 载荷的对象,否则将抛出错误。我们将该函数封装为 Promise,以便于在 async 函数中使用。
然后,我们定义了一个 auth 函数,该函数接受一个 roles 参数,该参数是一个包含用户角色的数组。auth 函数返回一个中间件函数,该中间件函数用于鉴定用户是否具有访问该路由的权限。中间件函数首先从 Authorization 头部中获取 JWT,然后使用 verifyToken 函数验证 JWT 是否有效。如果 JWT 无效,中间件函数将抛出 401 错误,表示未授权。如果 JWT 有效,中间件函数将获取 JWT 载荷中的角色信息,并将其与 roles 数组进行比较。如果用户角色包含在 roles 数组中,中间件函数将调用 next 函数,否则将抛出 403 错误,表示禁止访问。
最后,我们修改一下 index.js 文件,使用 auth 中间件鉴定用户权限:
----- --- - --------------- ----- ------ - ---------------------- ----- ---------- - -------------------------- ----- ----- - ------------------- ----- ---- - ------------------ ----- --- - --- ------ ----- ------ - --- --------- --------------------- ------- -------------------- ---------------- --- -- - -------- - - -------- ------- ------- -- --- ------------------- --------------- --- -- - -------- - - -------- ------- ------ -- --- ---------------------- ------------------------- ---------------- -- -- - ------------------- -- ------- -- ------------------------ ---
我们使用 auth 中间件鉴定用户权限,其中 /admin 路由需要 admin 角色,/user 路由需要 user 角色。如果用户具有相应的角色,服务器将返回一个包含欢迎信息的响应体,如下所示:
- ---------- ------- ------- -
如果用户不具有相应的角色,服务器将返回一个包含错误信息的响应体,如下所示:
- ---------- ----------- -
总结
本文介绍了如何使用 Koa2 和 JWT 实现用户登录和权限鉴定。我们使用 bcryptjs 对密码进行加密,使用 jwt.sign 和 jwt.verify 方法生成和验证 JWT。我们还使用中间件函数鉴定用户权限,确保用户具有访问该路由的权限。这些技术都是前端开发中非常常见的技术,学习和掌握它们将对我们的职业发展大有裨益。
来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/661a3b3fd10417a222af9c16