在 Nodejs 中进行身份验证的正确方法 [uide]

程序猿 • 2025年12月19日 20:57:04 • 好文分享 • 阅读 0

身份验证是后端开发中最关键但经常被误解的方面之一。由于其复杂性，开发人员经常转向第三方解决方案，例如 auth0 或 supabase。虽然这些都是优秀的工具，但构建您自己的身份验证系统可以提供更大的灵活性和控制力。

在本指南中，您将了解如何以最少的依赖关系为 express.js api 服务实现简单的身份验证中间件。到最后，您将拥有：

功能齐全的用户名密码身份验证。与 postgresql 集成来存储用户帐户。基于 jwt 的身份验证中间件。通过自动重用检测刷新令牌以增强安全性。

本指南注重简单性，避免使用诸如 passport.js 之类的包来降低复杂性。

设置用户帐户表

首先，创建一个 postgresql 表来存储用户帐户：

create table users (    "id" serial primary key,    "username" varchar(255) unique not null,    "password" varchar(255) not null,    "email" varchar(255) unique,    "created_at" timestamp not null default now());

jwt 身份验证中间件

接下来，创建 jwt 身份验证中间件来保护 api 端点。此示例使用对称加密。对于微服务架构，请考虑使用带有公钥/私钥对的非对称加密。

中间件代码（/src/middleware/jwt.ts）：

import jwt from "jsonwebtoken";const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 charactersexport const protectedroute: requesthandler = async (req, _, next) => {  const authheader = req.header("authorization");  if (!authheader) {    return next(notauthenticated());  }  const accesstoken = authheader.replace(new regexp("b[bb]earers"), "");  try {    const { userid } = validatejwt(accesstoken);    const user = await userrepository.getuserbyid(parseint(userid));    if (user) {      req.user = user;      next();    } else {      next(invalidaccesstoken());    }  } catch (err) {    next(invalidaccesstoken());  }};const validatejwt = (token: string, verifyoptions?: jwt.verifyoptions) => {  const jwtverifyoptions = object.assign(    { algorithms: "hs256" },    verifyoptions,    {      issuer: "yourapi.com",      audience: "yourapi.com:client",    }  );  return jwt.verify(token, jwt_secret_key, jwtverifyoptions) as t;};

使用中间件来保护路由：

import { protectedroute } from "@/middleware/jwt";router.get("/user", protectedroute, async (req, res, next) => {  const user = req.user!;  res.json({ user });});

创建身份验证控制器

现在，实现用于注册和登录的控制器：

注册控制器：

import argon from "argon2";const signup = async (props) => {  const { username, password, email } = props;  await userrepo.getuser(username).then((res) => {    if (res !== null) throw usernamenotavailable();  });  const hashedpass = await argon.hash(password, {    timecost: 2,    parallelism: 1,    memorycost: 19456,  });  const newuser = await createuser({    username,    hashedpass,    email,  });  const refreshtoken = await generaterefreshtoken(newuser.userid);  const accesstoken = generateaccesstoken(newuser.userid);  const { password: _, ...userres } = newuser;  return { user: userres, accesstoken, refreshtoken };};

登录控制器：

const login = async (props) => {  const { username, password } = props;  const user = await getuser(username).then((res) => {    if (res === null) throw invalidlogincredentials();    return res;  });  const isok = await argon.verify(user.password, password);  if (isok) {    const refreshtoken = await generaterefreshtoken(user.userid);    const accesstoken = generateaccesstoken(user.userid);    const { password: _, ...userres } = user;    return { user: userres, accesstoken, refreshtoken };  }  throw invalidlogincredentials();};

存储刷新令牌

刷新令牌提供长期身份验证。让我们创建一个数据库表来存储它们：

create table refresh_tokens (    "id" serial primary key,    "token" uuid not null default gen_random_uuid(),    "token_family" uuid not null default gen_random_uuid(),    "user_id" integer not null references users(id) on delete cascade,    "active" boolean default true,    "expires_at" timestamp not null,    "created_at" timestamp not null default now());

代币生成器：

import jwt from "jsonwebtoken";const jwt_secret_key = process.env.jwt_secret_key as string; // randomly generated. min length: 64 charactersconst generateaccesstoken = (userid: number) => {  const jwtsignoptions = object.assign(    { algorithm: "hs256" },    {},    {      issuer: "yourapi.com",      audience: "yourapi.com:client",    }  );  return jwt.sign({ userid: userid.tostring() }, jwt_secret_key, jwtsignoptions);};const generaterefreshtoken = async (userid: number, tokenfamily?: string) => {  const expat = new date(new date().gettime() + 31 * 24 * 60 * 60 * 1000); // expire in 31 days  const refreshtokenexp = expat.toisostring();  const token = await createtokenquery({    userid,    tokenfamily,    expiresat: refreshtokenexp,  });  return token;};

刷新令牌逻辑：

实现逻辑来安全地处理刷新令牌：

const refreshToken = async ({ token }: RefreshTokenSchema) => {  const tokenData = await getRefreshToken(token);  if (!tokenData) throw forbiddenError();  const { userId, tokenFamily, active } = tokenData;  if (active) {    // Token is valid and hasn't been used yet    const newRefreshToken = await generateRefreshToken(userId, tokenFamily);    const accessToken = generateAccessToken(userId);    return { accessToken, refreshToken: newRefreshToken };  } else {    // Previously refreshed token used, invalidate all tokens in family    await invalidateRefreshTokenFamily(tokenFamily);    throw forbiddenError();  }};

在这篇 auth0 文章中了解有关刷新令牌和自动重用检测的更多信息。

结论

通过遵循本指南，您已经为 node.js api 构建了一个简单、安全的身份验证系统，并且依赖性最小。这种方法可确保您拥有完全控制权并遵守现代最佳安全实践。

如果您想节省时间和精力，请查看 vratix。我们的开源 cli 可以在几秒钟内建立一个功能齐全的 node.js 项目并进行身份验证。在 github 上探索我们完全实现的身份验证模块。

本指南对您有帮助吗？请在评论中告诉我们，或通过 x 与我们联系！

以上就是在 Nodejs 中进行身份验证的正确方法 [uide]的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1499005.html

access ai cos git nodejs

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

表单事件绑定在 KnockoutJs 中如何工作

上一篇 2025年12月19日 20:56:56

JavaScript 中的“this”关键字到底是什么？

下一篇 2025年12月19日 20:57:21

好文分享

Uniapp 中如何不拉伸不裁剪地展示图片？

灵活展示图片：如何不拉伸不裁剪在界面设计中，常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。对于不同尺寸的图片，可以采用以下处理方式：极端宽高比：撑满屏幕宽度或高度，再等比缩放居中。非极端宽高比：居中显示，若能撑满则撑满。然而，如果需要不拉伸不…

程序猿
2025年12月24日
4000
好文分享

如何让小说网站控制台显示乱码，同时网页内容正常显示？

如何在不影响用户界面的情况下实现控制台乱码？当在小说网站上下载小说时，大家可能会遇到一个问题：网站上的文本在网页内正常显示，但是在控制台中却是乱码。如何实现此类操作，从而在不影响用户界面（UI）的情况下保持控制台乱码呢？答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体，并通过在客户端…

程序猿
2025年12月24日
8000
好文分享

如何在地图上轻松创建气泡信息框？

地图上气泡信息框的巧妙生成地图上气泡信息框是一种常用的交互功能，它简便易用，能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。利用地图库的原生功能大多数地图库，如高德地图，都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现：高德地图 JS API 参考文…

程序猿
2025年12月24日
4000
好文分享

如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画？

如何实现元素scrollleft变化时的平滑动画效果？在许多网页应用中，滚动容器的水平滚动条（scrollleft）需要频繁使用。为了让滚动动作更加自然，你希望给scrollleft的变化添加动画效果。解决方案：scroll-behavior 属性要实现scrollleft变化时的平滑动画效果…

程序猿
2025年12月24日
0000
好文分享

如何为滚动元素添加平滑过渡，使滚动条滑动时更自然流畅？

给滚动元素平滑过渡如何在滚动条属性（scrollleft）发生改变时为元素添加平滑的过渡效果？解决方案：scroll-behavior 属性为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码： click the button to slide right!…

程序猿
2025年12月24日
5000
好文分享

如何选择元素个数不固定的指定类名子元素？

灵活选择元素个数不固定的指定类名子元素在网页布局中，有时需要选择特定类名的子元素，但这些元素的数量并不固定。例如，下面这段 html 代码中，activebar 和 item 元素的数量均不固定： *n *n 如果需要选择第一个 item元素，可以使用 css 选择器 :nth-child()。该…

程序猿
2025年12月24日
2000
好文分享

使用 SVG 如何实现自定义宽度、间距和半径的虚线边框？

使用 svg 实现自定义虚线边框如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片，但是这种方法存在引入外部资源、性能低下的缺点。为了避免上述问题，可以使用 svg（可缩放矢量图形）来创建纯代码实现。一种方…

程序猿
2025年12月24日
1000
好文分享

旋转长方形后，如何计算其相对于画布左上角的轴距？

绘制长方形并旋转，计算旋转后轴距在拥有 1920×1080 画布中，放置一个宽高为 200×20 的长方形，其坐标位于 (100, 100)。当以任意角度旋转长方形时，如何计算它相对于画布左上角的 x、y 轴距？以下代码提供了一个计算旋转后长方形轴距的解决方案： const x = 200;co…

程序猿
2025年12月24日
0000
好文分享

旋转长方形后，如何计算它与画布左上角的xy轴距？

旋转后长方形在画布上的xy轴距计算在画布中添加一个长方形，并将其旋转任意角度，如何计算旋转后的长方形与画布左上角之间的xy轴距？问题分解：要计算旋转后长方形的xy轴距，需要考虑旋转对长方形宽高和位置的影响。首先，旋转会改变长方形的长和宽，其次，旋转会改变长方形的中心点位置。求解方法：计算旋…

程序猿
2025年12月24日
0000
好文分享

旋转长方形后如何计算其在画布上的轴距？

旋转长方形后计算轴距假设长方形的宽、高分别为 200 和 20，初始坐标为 (100, 100)，我们将它旋转一个任意角度。根据旋转矩阵公式，旋转后的新坐标 (x’, y’) 可以通过以下公式计算： x’ = x * cos(θ) – y * sin(θ)y’ = x * …

程序猿
2025年12月24日
0000
好文分享

如何让“元素跟随文本高度，而不是撑高父容器？

如何让元素跟随文本高度，而不是撑高父容器在页面布局中，经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中，父容器被较高的图片撑开，而文本的高度没有被考虑。本问答将提供纯css解决方案，让图片跟随文本高度，确保父容器的高度不会被图片影响。解决方法为了解决这个问题，需要将图片从文档流中脱离…

程序猿
2025年12月24日
0000
好文分享

如何计算旋转后长方形在画布上的轴距？

旋转后长方形与画布轴距计算在给定的画布中，有一个长方形，在随机旋转一定角度后，如何计算其在画布上的轴距，即距离左上角的距离？以下提供一种计算长方形相对于画布左上角的新轴距的方法： const x = 200; // 初始 x 坐标const y = 90; // 初始 y 坐标const w =…

程序猿
2025年12月24日
2000
好文分享

CSS元素设置em和transition后，为何载入页面无放大效果？

css元素设置em和transition后，为何载入无放大效果很多开发者在设置了em和transition后，却发现元素载入页面时无放大效果。本文将解答这一问题。原问题：在视频演示中，将元素设置如下，载入页面会有放大效果。然而，在个人尝试中，并未出现该效果。这是由于macos和windows系统…

程序猿
2025年12月24日
2000
好文分享

为什么 CSS mask 属性未请求指定图片？

解决 css mask 属性未请求图片的问题在使用 css mask 属性时，指定了图片地址，但网络面板显示未请求获取该图片，这可能是由于浏览器兼容性问题造成的。问题如下代码所示：立即学习“前端免费学习笔记（深入）”； icon [data-icon=”cloud”] { –icon-cl…

程序猿
2025年12月24日
2000
好文分享

如何利用 CSS 选中激活标签并影响相邻元素的样式？

如何利用 css 选中激活标签并影响相邻元素？为了实现激活标签影响相邻元素的样式需求，可以通过 :has 选择器来实现。以下是如何具体操作：对于激活标签相邻后的元素，可以在 css 中使用以下代码进行设置： li:has(+li.active) { border-radius: 0 0 10px…

程序猿
2025年12月24日
1000
好文分享

如何模拟Windows 10 设置界面中的鼠标悬浮放大效果？

win10设置界面的鼠标移动显示周边的样式（探照灯效果）的实现方式在windows设置界面的鼠标悬浮效果中，光标周围会显示一个放大区域。在前端开发中，可以通过多种方式实现类似的效果。使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

程序猿
2025年12月24日
2000
好文分享

如何计算旋转后的长方形在画布上的 XY 轴距？

旋转长方形后计算其画布xy轴距在创建的画布上添加了一个长方形，并提供其宽、高和初始坐标。为了视觉化旋转效果，还提供了一些旋转特定角度后的图片。问题是如何计算任意角度旋转后，这个长方形的xy轴距。这涉及到使用三角学来计算旋转后的坐标。以下是一个 javascript 代码示例，用于计算旋转后长方…

程序猿
2025年12月24日
0000
好文分享

为什么我的 Safari 自定义样式表在百度页面上失效了？

为什么在 Safari 中自定义样式表未能正常工作？在 Safari 的偏好设置中设置自定义样式表后，您对其进行测试却发现效果不同。在您自己的网页中，样式有效，而在百度页面中却失效。造成这种情况的原因是，第一个访问的项目使用了文件协议，可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

程序猿
2025年12月24日
0000
好文分享

如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果？

如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果，可以通过以下途径： CSS 解决方案 DEMO 1: Windows 10 网格悬停效果：https://codepen.io/tr4553r7/pe…

程序猿
2025年12月24日
0000
好文分享

使用CSS mask属性指定图片URL时，为什么浏览器无法加载图片？

css mask属性未能加载图片的解决方法使用css mask属性指定图片url时，如示例中所示： mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是，在网络面板中却…

程序猿
2025年12月24日
0000