在 Nodejs 中进行身份验证的正确方法 [uide]

花韻仙語

发布时间：2024-11-26 08:32:14

660人浏览过

来源于dev.to

转载

在 nodejs 中进行身份验证的正确方法 [uide]

身份验证是后端开发中最关键但经常被误解的方面之一。由于其复杂性，开发人员经常转向第三方解决方案，例如 auth0 或 supabase。虽然这些都是优秀的工具，但构建您自己的身份验证系统可以提供更大的灵活性和控制力。

在本指南中，您将了解如何以最少的依赖关系为 express.js api 服务实现简单的身份验证中间件。到最后，您将拥有：

功能齐全的用户名密码身份验证。
与 postgresql 集成来存储用户帐户。
基于 jwt 的身份验证中间件。
通过自动重用检测刷新令牌以增强安全性。

本指南注重简单性，避免使用诸如 passport.js 之类的包来降低复杂性。

设置用户帐户表

首先，创建一个 postgresql 表来存储用户帐户：

create table users (
    "id" serial primary key,
    "username" varchar(255) unique not null,
    "password" varchar(255) not null,
    "email" varchar(255) unique,
    "created_at" timestamp not null default now()
);

jwt 身份验证中间件

接下来，创建 jwt 身份验证中间件来保护 api 端点。此示例使用对称加密。对于微服务架构，请考虑使用带有公钥/私钥对的非对称加密。

中间件代码（/src/middleware/jwt.ts）：

import jwt from "jsonwebtoken";

const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 characters

export const protectedroute: requesthandler = async (req, _, next) => {
  const authheader = req.header("authorization");

  if (!authheader) {
    return next(notauthenticated());
  }

  const accesstoken = authheader.replace(new regexp("\b[bb]earer\s"), "");

  try {
    const { userid } = validatejwt(accesstoken);
    const user = await userrepository.getuserbyid(parseint(userid));

    if (user) {
      req.user = user;
      next();
    } else {
      next(invalidaccesstoken());
    }
  } catch (err) {
    next(invalidaccesstoken());
  }
};

const validatejwt = (token: string, verifyoptions?: jwt.verifyoptions) => {
  const jwtverifyoptions = object.assign(
    { algorithms: "hs256" },
    verifyoptions,
    {
      issuer: "yourapi.com",
      audience: "yourapi.com:client",
    }
  );
  return jwt.verify(token, jwt_secret_key, jwtverifyoptions) as t;
};

使用中间件来保护路由：

import { protectedroute } from "@/middleware/jwt";

router.get("/user", protectedroute, async (req, res, next) => {
  const user = req.user!;
  res.json({ user });
});

创建身份验证控制器

现在，实现用于注册和登录的控制器：

PathFinder

AI驱动的销售漏斗分析工具

下载

注册控制器：

import argon from "argon2";

const signup = async (props) => {
  const { username, password, email } = props;

  await userrepo.getuser(username).then((res) => {
    if (res !== null) throw usernamenotavailable();
  });

  const hashedpass = await argon.hash(password, {
    timecost: 2,
    parallelism: 1,
    memorycost: 19456,
  });

  const newuser = await createuser({
    username,
    hashedpass,
    email,
  });

  const refreshtoken = await generaterefreshtoken(newuser.userid);
  const accesstoken = generateaccesstoken(newuser.userid);

  const { password: _, ...userres } = newuser;
  return { user: userres, accesstoken, refreshtoken };
};

登录控制器：

const login = async (props) => {
  const { username, password } = props;

  const user = await getuser(username).then((res) => {
    if (res === null) throw invalidlogincredentials();
    return res;
  });

  const isok = await argon.verify(user.password, password);

  if (isok) {
    const refreshtoken = await generaterefreshtoken(user.userid);
    const accesstoken = generateaccesstoken(user.userid);

    const { password: _, ...userres } = user;
    return { user: userres, accesstoken, refreshtoken };
  }

  throw invalidlogincredentials();
};

存储刷新令牌

刷新令牌提供长期身份验证。让我们创建一个数据库表来存储它们：

create table refresh_tokens (
    "id" serial primary key,
    "token" uuid not null default gen_random_uuid(),
    "token_family" uuid not null default gen_random_uuid(),
    "user_id" integer not null references users(id) on delete cascade,
    "active" boolean default true,
    "expires_at" timestamp not null,
    "created_at" timestamp not null default now()
);

代币生成器：

import jwt from "jsonwebtoken";

const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 characters

const generateaccesstoken = (userid: number) => {
  const jwtsignoptions = object.assign(
    { algorithm: "hs256" },
    {},
    {
      issuer: "yourapi.com",
      audience: "yourapi.com:client",
    }
  );
  return jwt.sign({ userid: userid.tostring() }, jwt_secret_key, jwtsignoptions);
};

const generaterefreshtoken = async (userid: number, tokenfamily?: string) => {
  const expat = new date(new date().gettime() + 31 * 24 * 60 * 60 * 1000); // expire in 31 days
  const refreshtokenexp = expat.toisostring();

  const token = await createtokenquery({
    userid,
    tokenfamily,
    expiresat: refreshtokenexp,
  });

  return token;
};

刷新令牌逻辑：

实现逻辑来安全地处理刷新令牌：

const refreshToken = async ({ token }: RefreshTokenSchema) => {
  const tokenData = await getRefreshToken(token);

  if (!tokenData) throw forbiddenError();

  const { userId, tokenFamily, active } = tokenData;

  if (active) {
    // Token is valid and hasn't been used yet
    const newRefreshToken = await generateRefreshToken(userId, tokenFamily);
    const accessToken = generateAccessToken(userId);

    return { accessToken, refreshToken: newRefreshToken };
  } else {
    // Previously refreshed token used, invalidate all tokens in family
    await invalidateRefreshTokenFamily(tokenFamily);

    throw forbiddenError();
  }
};

在这篇 auth0 文章中了解有关刷新令牌和自动重用检测的更多信息。

结论

通过遵循本指南，您已经为 node.js api 构建了一个简单、安全的身份验证系统，并且依赖性最小。这种方法可确保您拥有完全控制权并遵守现代最佳安全实践。

如果您想节省时间和精力，请查看 vratix。我们的开源 cli 可以在几秒钟内建立一个功能齐全的 node.js 项目并进行身份验证。在 github 上探索我们完全实现的身份验证模块。

本指南对您有帮助吗？请在评论中告诉我们，或通过 x 与我们联系！

NodeJS检测文件的方法

NodeJS 中 String.search() 返回 0 的问题解析与解决方案

使用 Voximplant API Client 正确实例化客户端对象

使用 NodeJS 处理小数点后带零的浮点数

NodeJS 处理小数点后带零的浮点数

相关专题

什么是中间件

中间件是一种软件组件，充当不兼容组件之间的桥梁，提供额外服务，例如集成异构系统、提供常用服务、提高应用程序性能，以及简化应用程序开发。想了解更多中间件的相关内容，可以阅读本专题下面的文章。

183

2024.05.11

Golang 中间件开发与微服务架构

本专题系统讲解 Golang 在微服务架构中的中间件开发，包括日志处理、限流与熔断、认证与授权、服务监控、API 网关设计等常见中间件功能的实现。通过实战项目，帮助开发者理解如何使用 Go 编写高效、可扩展的中间件组件，并在微服务环境中进行灵活部署与管理。

226

2025.12.18

Node.js后端开发与Express框架实践

本专题针对初中级 Node.js 开发者，系统讲解如何使用 Express 框架搭建高性能后端服务。内容包括路由设计、中间件开发、数据库集成、API 安全与异常处理，以及 RESTful API 的设计与优化。通过实际项目演示，帮助开发者快速掌握 Node.js 后端开发流程。

422

2026.02.10

js正则表达式

php中文网为大家提供各种js正则表达式语法大全以及各种js正则表达式使用的方法，还有更多js正则表达式的相关文章、相关下载、相关课程，供大家免费下载体验。

531

2023.06.20

js获取当前时间

JS全称JavaScript，是一种具有函数优先的轻量级，解释型或即时编译型的编程语言;它是一种属于网络的高级脚本语言，主要用于Web，常用来为网页添加各式各样的动态功能。js怎么获取当前时间呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

576

2023.07.28

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

760

2023.08.03

js是什么意思

JS是JavaScript的缩写，它是一种广泛应用于网页开发的脚本语言。JavaScript是一种解释性的、基于对象和事件驱动的编程语言，通常用于为网页增加交互性和动态性。它可以在网页上实现复杂的功能和效果，如表单验证、页面元素操作、动画效果、数据交互等。

6231

2023.08.17

js删除节点的方法

js删除节点的方法有：1、removeChild()方法，用于从父节点中移除指定的子节点，它需要两个参数，第一个参数是要删除的子节点，第二个参数是父节点；2、parentNode.removeChild()方法，可以直接通过父节点调用来删除子节点；3、remove()方法，可以直接删除节点，而无需指定父节点；4、innerHTML属性，用于删除节点的内容。

492

2023.09.01

Python异步编程与Asyncio高并发应用实践

本专题围绕 Python 异步编程模型展开，深入讲解 Asyncio 框架的核心原理与应用实践。内容包括事件循环机制、协程任务调度、异步 IO 处理以及并发任务管理策略。通过构建高并发网络请求与异步数据处理案例，帮助开发者掌握 Python 在高并发场景中的高效开发方法，并提升系统资源利用率与整体运行性能。

2026.03.12

热门下载

网站特效

网站源码

网站素材

前端模板