在 Nodejs 中进行身份验证的正确方法 [uide]

程序猿 • 2025年12月19日 20:57:04 • 好文分享 • 阅读 0

身份验证是后端开发中最关键但经常被误解的方面之一。由于其复杂性，开发人员经常转向第三方解决方案，例如 auth0 或 supabase。虽然这些都是优秀的工具，但构建您自己的身份验证系统可以提供更大的灵活性和控制力。

在本指南中，您将了解如何以最少的依赖关系为 express.js api 服务实现简单的身份验证中间件。到最后，您将拥有：

功能齐全的用户名密码身份验证。与 postgresql 集成来存储用户帐户。基于 jwt 的身份验证中间件。通过自动重用检测刷新令牌以增强安全性。

本指南注重简单性，避免使用诸如 passport.js 之类的包来降低复杂性。

设置用户帐户表

首先，创建一个 postgresql 表来存储用户帐户：

create table users (    "id" serial primary key,    "username" varchar(255) unique not null,    "password" varchar(255) not null,    "email" varchar(255) unique,    "created_at" timestamp not null default now());

jwt 身份验证中间件

接下来，创建 jwt 身份验证中间件来保护 api 端点。此示例使用对称加密。对于微服务架构，请考虑使用带有公钥/私钥对的非对称加密。

中间件代码（/src/middleware/jwt.ts）：

import jwt from "jsonwebtoken";const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 charactersexport const protectedroute: requesthandler = async (req, _, next) => {  const authheader = req.header("authorization");  if (!authheader) {    return next(notauthenticated());  }  const accesstoken = authheader.replace(new regexp("b[bb]earers"), "");  try {    const { userid } = validatejwt(accesstoken);    const user = await userrepository.getuserbyid(parseint(userid));    if (user) {      req.user = user;      next();    } else {      next(invalidaccesstoken());    }  } catch (err) {    next(invalidaccesstoken());  }};const validatejwt = (token: string, verifyoptions?: jwt.verifyoptions) => {  const jwtverifyoptions = object.assign(    { algorithms: "hs256" },    verifyoptions,    {      issuer: "yourapi.com",      audience: "yourapi.com:client",    }  );  return jwt.verify(token, jwt_secret_key, jwtverifyoptions) as t;};

使用中间件来保护路由：

import { protectedroute } from "@/middleware/jwt";router.get("/user", protectedroute, async (req, res, next) => {  const user = req.user!;  res.json({ user });});

创建身份验证控制器

现在，实现用于注册和登录的控制器：

注册控制器：

import argon from "argon2";const signup = async (props) => {  const { username, password, email } = props;  await userrepo.getuser(username).then((res) => {    if (res !== null) throw usernamenotavailable();  });  const hashedpass = await argon.hash(password, {    timecost: 2,    parallelism: 1,    memorycost: 19456,  });  const newuser = await createuser({    username,    hashedpass,    email,  });  const refreshtoken = await generaterefreshtoken(newuser.userid);  const accesstoken = generateaccesstoken(newuser.userid);  const { password: _, ...userres } = newuser;  return { user: userres, accesstoken, refreshtoken };};

登录控制器：

const login = async (props) => {  const { username, password } = props;  const user = await getuser(username).then((res) => {    if (res === null) throw invalidlogincredentials();    return res;  });  const isok = await argon.verify(user.password, password);  if (isok) {    const refreshtoken = await generaterefreshtoken(user.userid);    const accesstoken = generateaccesstoken(user.userid);    const { password: _, ...userres } = user;    return { user: userres, accesstoken, refreshtoken };  }  throw invalidlogincredentials();};

存储刷新令牌

刷新令牌提供长期身份验证。让我们创建一个数据库表来存储它们：

create table refresh_tokens (    "id" serial primary key,    "token" uuid not null default gen_random_uuid(),    "token_family" uuid not null default gen_random_uuid(),    "user_id" integer not null references users(id) on delete cascade,    "active" boolean default true,    "expires_at" timestamp not null,    "created_at" timestamp not null default now());

代币生成器：

import jwt from "jsonwebtoken";const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 charactersconst generateaccesstoken = (userid: number) => {  const jwtsignoptions = object.assign(    { algorithm: "hs256" },    {},    {      issuer: "yourapi.com",      audience: "yourapi.com:client",    }  );  return jwt.sign({ userid: userid.tostring() }, jwt_secret_key, jwtsignoptions);};const generaterefreshtoken = async (userid: number, tokenfamily?: string) => {  const expat = new date(new date().gettime() + 31 * 24 * 60 * 60 * 1000); // expire in 31 days  const refreshtokenexp = expat.toisostring();  const token = await createtokenquery({    userid,    tokenfamily,    expiresat: refreshtokenexp,  });  return token;};

刷新令牌逻辑：

实现逻辑来安全地处理刷新令牌：

const refreshToken = async ({ token }: RefreshTokenSchema) => {  const tokenData = await getRefreshToken(token);  if (!tokenData) throw forbiddenError();  const { userId, tokenFamily, active } = tokenData;  if (active) {    // Token is valid and hasn't been used yet    const newRefreshToken = await generateRefreshToken(userId, tokenFamily);    const accessToken = generateAccessToken(userId);    return { accessToken, refreshToken: newRefreshToken };  } else {    // Previously refreshed token used, invalidate all tokens in family    await invalidateRefreshTokenFamily(tokenFamily);    throw forbiddenError();  }};

在这篇 auth0 文章中了解有关刷新令牌和自动重用检测的更多信息。

结论

通过遵循本指南，您已经为 node.js api 构建了一个简单、安全的身份验证系统，并且依赖性最小。这种方法可确保您拥有完全控制权并遵守现代最佳安全实践。

如果您想节省时间和精力，请查看 vratix。我们的开源 cli 可以在几秒钟内建立一个功能齐全的 node.js 项目并进行身份验证。在 github 上探索我们完全实现的身份验证模块。

本指南对您有帮助吗？请在评论中告诉我们，或通过 x 与我们联系！

以上就是在 Nodejs 中进行身份验证的正确方法 [uide]的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1499005.html

access ai cos git nodejs

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

371.8K 文章

0 评论

1 粉丝

这个人很懒，什么都没有留下～

表单事件绑定在 KnockoutJs 中如何工作

上一篇 2025年12月19日 20:56:56

JavaScript 中的“this”关键字到底是什么？

下一篇 2025年12月19日 20:57:21

好文分享

使用 localStorage 持久化 React 应用中的状态：收藏夹功能实现

本文旨在解决 React 应用中使用 localStorage 持久化状态，特别是收藏夹功能遇到的问题。我们将深入探讨如何正确地更新和保存状态到 localStorage，以确保数据在页面刷新后依然保留。通过修改 toggleFavorites 函数，并在每次更新收藏状态后立即保存到 localSt…

程序猿
2025年12月20日
0000
好文分享

将多个对象数组转换为单个对象

在处理复杂的数据结构时，经常会遇到需要将多个对象数组合并成一个单一对象的情况。例如，一个包含不同类型对象（例如 “cat” 和 “dog”）的数组，每个对象都有一个 errors 属性，该属性包含一个对象数组，而我们希望将所有 errors 数组中的对…

程序猿
2025年12月20日
0000
好文分享

合并多个对象数组为一个对象

合并多个对象数组为一个对象在实际开发中，我们经常会遇到需要处理嵌套较深的数据结构，例如一个数组包含多个对象，而每个对象又包含一个包含多个错误对象的数组。此时，我们需要将这些错误对象合并为一个单一的对象，方便后续处理。本文将介绍一种简洁高效的方法，使用 Array.flatMap() 和 Objec…

程序猿
2025年12月20日
0000
好文分享

Zod 中设置全局错误消息：替代 Yup 的 setLocale 方法

本文将介绍如何在 Zod 中实现类似 Yup 的 setLocale 功能，用于设置全局自定义错误消息，特别是针对国际化 (i18n) 的场景。Zod 提供了 z.setErrorMap 方法来实现自定义错误映射，并推荐使用 zod-i18n 库来集成 i18next 实现国际化错误消息。本文将详细…

程序猿
2025年12月20日
0000
好文分享

JavaScript 中使用字符串创建正则表达式并进行验证

本文介绍了如何在 JavaScript 中，当正则表达式以字符串形式存在时，将其转换为可用的 RegExp 对象，并利用该对象对目标字符串进行验证。涵盖了从字符串中解析正则表达式模式和标志，以及使用 RegExp.test() 方法进行匹配的具体实现。在 JavaScript 开发中，有时会遇到正…

程序猿
2025年12月20日
0000
好文分享

JavaScript 中使用字符串创建和验证正则表达式

本文旨在解决 JavaScript 中如何将字符串转换为正则表达式对象，并使用该对象验证字符串的问题。核心内容包括：使用 RegExp 构造函数从字符串创建正则表达式对象，以及如何解析包含分隔符和标志的正则表达式字符串。此外，还强调了 regex.test(value) 的正确使用方式，并提供示例代…

程序猿
2025年12月20日
0000
好文分享

DOM操作的基本方法有哪些

dom操作的核心是通过javascript控制网页元素，主要步骤包括：1. 选择元素，常用方法有getelementbyid、getelementsbyclassname、getelementsbytagname、queryselector和queryselectorall，其中queryselec…

程序猿
2025年12月20日
0000
好文分享

React 中图片无法显示的解决方案

本文旨在解决 React 应用中图片无法正常显示的问题。通过分析文件路径、资源引用方式，以及Webpack配置等常见原因，提供了一套全面的排查和解决方案，帮助开发者快速定位问题并成功显示图片。文章包含本地图片和网络图片的加载方式，以及相应的注意事项，确保图片资源在React应用中正确加载和渲染。在…

程序猿
2025年12月20日
0000
ReactJS 图片无法正确显示的解决方案

本文旨在解决 ReactJS 项目中图片无法正确显示的问题，特别是当使用相对路径引用本地图片资源时。通过分析可能的原因，提供使用 import 或 require 语句来正确引入和显示图片资源的详细步骤和示例代码，并讨论了常见的错误和解决方法，帮助开发者避免类似问题。在 reactjs 项目中，正…

程序猿
2025年12月20日 • 好文分享
0000
好文分享

正则表达式字符串验证指南

本文介绍了如何将字符串形式的正则表达式转换为可用的正则表达式对象，并利用这些对象来验证字符串。在实际开发中，我们有时会遇到从配置文件、数据库或者其他外部来源获取正则表达式的情况，这些正则表达式通常以字符串的形式存在。直接使用字符串进行匹配是不可行的，我们需要将其转换为 RegExp 对象才能进行有效…

程序猿
2025年12月20日
0000
好文分享

Async/Await如何使用

async函数总是返回一个promise对象。1. 即使返回非promise值，也会被自动包装成已解决的promise；2. 错误处理通过try…catch块实现，捕获await表达式中被拒绝的promise；3. 与promise.all结合可并行执行多个异步操作，await等待所有p…

程序猿
2025年12月20日
0000
好文分享

js 如何使用curry实现函数柯里化

柯里化是将多参数函数转换为一系列单参数函数，直到参数足够时执行原函数；其好处是实现延迟执行与参数复用，例如可先传入操作符生成特定计算函数再复用；手写实现通过递归和apply方法合并参数并控制this指向；也可使用lodash等库提供的curry函数，更加简洁高效；柯里化与偏函数区别在于前者每次只传一…

程序猿
2025年12月20日
0000
好文分享

TensorFlow.js怎么使用

tensorflow.js在浏览器中运行的优势是无需服务器、保护隐私和离线支持；1. 无需服务器：模型直接在客户端运行，减少服务器负载并降低延迟；2. 保护隐私：用户数据无需上传至服务器，提升隐私安全性；3. 离线支持：部分应用可在无网络环境下运行，增强可用性。 TensorFlow.js让你可以在…

程序猿
2025年12月20日
0000
javascript闭包怎样实现代理模式

闭包实现代理模式的核心是通过工厂函数创建代理对象，该代理利用闭包捕获并持有对真实对象及私有状态（如缓存）的引用，从而在不修改原对象的前提下，对其方法调用进行拦截和增强。1. 工厂函数接收真实对象作为参数；2. 内部定义私有状态（如cache）和代理方法；3. 返回的新对象方法通过闭包访问真实对象和私…

程序猿
2025年12月20日 • 好文分享
0000
好文分享

js 如何连接数据库

浏览器端javascript无法直接连接数据库，必须通过后端api进行交互；2. node.js环境下的javascript可通过数据库驱动或orm/odm直接连接数据库；3. 安全原因、技术限制和架构设计决定了前端不能直连数据库；4. 实践中node.js连接mysql可用mysql2或seque…

程序猿
2025年12月20日
0000
好文分享

JavaScript：从字符串创建正则表达式并进行验证

在JavaScript中，我们经常需要使用正则表达式来验证字符串的格式。通常情况下，我们可以直接使用正则表达式字面量（例如 /^[0-9]+$/）来创建正则表达式对象。然而，有时正则表达式是以字符串的形式存在的，例如从配置文件或外部数据源获取。在这种情况下，我们需要将字符串转换为正则表达式对象，然后…

程序猿
2025年12月20日
0000
js 怎么实现文件下载

javascript前端文件下载主要通过模拟用户行为实现，常用方法包括利用标签的download属性或创建blob对象生成下载链接；2. 直接url下载适用于同源资源，但跨域或服务器未设置content-disposition时可能失效；3. 下载客户端生成的数据需使用blob对象将文本、json等…

程序猿
好文分享 2025年12月20日
0000
javascript闭包如何实现状态持久化

闭包能实现状态持久化，是因为内部函数始终持有对外部函数作用域的引用，即使外部函数已执行完毕，被引用的变量也不会被垃圾回收，从而保持状态。1. 在计数器例子中，每次调用返回的函数都能访问并修改同一个count变量，实现状态延续；2. 闭包基于词法作用域机制，函数定义时即确定作用域链，内部函数沿链查找变…

程序猿
2025年12月20日 • 好文分享
0000
js中如何生成二维码

选择二维码生成库时需考量库的大小与性能、功能丰富度与定制性、浏览器兼容性、社区活跃度与维护状态以及许可证类型；2. 优化二维码应确保足够的静区、高对比度颜色、合适尺寸、恰当容错级别、简洁编码内容并提供清晰用户引导；3. 二维码可承载复杂数据类型包括vcard联系人信息、wi-fi连接配置、预设短信或…

程序猿
2025年12月20日 • 好文分享
0000
好文分享

快速排序是什么？快速排序的JS实现

快速排序的工作原理是基于“分而治之”策略，通过选择基准、分区和递归排序三个步骤实现高效排序：首先从数组中选择一个基准元素，然后将数组划分为两部分，左边为小于基准的元素，右边为大于或等于基准的元素，此时基准位于最终有序位置；接着对左右两个子数组递归执行相同操作，直到子数组长度小于等于1，整个数组即有序…

程序猿
2025年12月20日
0000