身份驗(yàn)證是Web開(kāi)發(fā)的重要組成部分。JSON Web令牌（JWT）由于其簡(jiǎn)單性，安全性和可擴(kuò)展性，已成為在Web應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證的流行方法。在這篇文章中，我將指導(dǎo)你在Node.js應(yīng)用程序中使用MongoDB進(jìn)行數(shù)據(jù)存儲(chǔ)來(lái)實(shí)現(xiàn)JWT身份驗(yàn)證。

在開(kāi)始之前，我假設(shè)你已經(jīng)安裝了Node.js、MongoDB和VS Code，并且你知道如何創(chuàng)建MongoDB數(shù)據(jù)庫(kù)和基本的RESTful API。

什么是JWT認(rèn)證？

JWT身份驗(yàn)證依賴(lài)于JSON Web令牌來(lái)確認(rèn)Web應(yīng)用中用戶(hù)的身份。JSON Web令牌是使用密鑰對(duì)進(jìn)行數(shù)字簽名的編碼JSON對(duì)象。

簡(jiǎn)而言之，JWT身份驗(yàn)證就像為網(wǎng)站提供一個(gè)密碼。一旦你登錄成功，你就得到了這個(gè)密碼。

JSON Web Token由三部分組成，由點(diǎn)（.）分隔：

• Header
• Payload
• Signature

以下是JWT的基本結(jié)構(gòu)：

xxxx.yyyy.zzzz

• Header：這部分包含有關(guān)令牌的信息，如其類(lèi)型和如何保護(hù)。
• Payload：這部分包含關(guān)于用戶(hù)的聲明，如用戶(hù)名或角色。
• Signature：確保令牌的完整性，并驗(yàn)證它沒(méi)有被更改，這可以確保代碼安全，不會(huì)被篡改。

當(dāng)你登錄成功時(shí)，你會(huì)得到這個(gè)代碼。每次你想訪問(wèn)某個(gè)數(shù)據(jù)時(shí)，你都要攜帶這個(gè)代碼來(lái)證明是你。系統(tǒng)會(huì)檢查代碼是否有效，然后讓你獲取數(shù)據(jù)！

接下來(lái)讓我們看看在node.js項(xiàng)目中進(jìn)行JWT身份驗(yàn)證的步驟。

步驟1：新建項(xiàng)目

首先為您的項(xiàng)目創(chuàng)建一個(gè)新目錄，并使用以下命令進(jìn)入到該目錄。

mkdir nodejs-jwt-auth
cd nodejs-jwt-auth

通過(guò)在終端中運(yùn)行以下命令初始化項(xiàng)目（確保您位于新創(chuàng)建的項(xiàng)目文件夾中）。

npm init -y

接下來(lái)通過(guò)以下命令安裝必要的依賴(lài)項(xiàng)：

npm install express mongoose jsonwebtoken dotenv

上面的命令將安裝：

• express: 用于構(gòu)建Web服務(wù)器。
• mongoose：MongoDB的數(shù)據(jù)庫(kù)。
• jsonwebtoken：用于生成和驗(yàn)證JSON Web令牌（JWT）以進(jìn)行身份驗(yàn)證。
• dotenv：用于從.env文件加載環(huán)境變量。

現(xiàn)在您的package.json文件應(yīng)該看起來(lái)像這樣：

圖片

步驟2：連接MongoDB數(shù)據(jù)庫(kù)

要連接MongoDB數(shù)據(jù)庫(kù)，請(qǐng)查看以下鏈接中的具體操作流程。

https://shefali.dev/restful-api/#Step_4_Creating_a_MongoDB_Database

步驟3：創(chuàng)建 .env 文件

為了 MongoDB 連接地址的安全，讓我們?cè)诟夸浵聞?chuàng)建一個(gè)名為 .env 的新文件。

將以下代碼添加到.env文件中。

MONGODB_URL=<Your MongoDB Connection String>
SECRET_KEY="your_secret_key_here"

將<Your MongoDB Connection String>替換為您從MongoDB Atlas獲得的連接字符串（在步驟2中），并將your_secret_key_here替換為您想要的密鑰字符串。現(xiàn)在你的.env文件應(yīng)該是這樣的。

MONGODB_URL='mongodb+srv://shefali:********@cluster0.sscvg.mongodb.net/nodejs-jwt-auth'
SECRET_KEY="ThisIsMySecretKey"

在MONGODB_URL最后我們加入node.js-jwt-auth，這是我們的數(shù)據(jù)庫(kù)名稱(chēng)。

步驟4：Express

在根目錄下創(chuàng)建一個(gè)名為index.js的文件，并將以下代碼添加到該文件中。

const express = require("express");
const mongoose = require("mongoose");

require("dotenv").config(); //for using variables from .env file.

const app = express();
const port = 3000;

//middleware provided by Express to parse incoming JSON requests.
app.use(express.json()); 

mongoose.connect(process.env.MONGODB_URL).then(() => {
  console.log("MongoDB is connected!");
});

app.get("/", (req, res) => {
  res.send("Hello World!");
});

app.listen(port, () => {
  console.log(`Server is listening on port ${port}`);
});

現(xiàn)在我們可以通過(guò)以下命令運(yùn)行服務(wù)器。

node index.js

輸出應(yīng)如下圖所示。

圖片

通過(guò)使用命令node index.js，您必須在每次更改文件時(shí)重新啟動(dòng)服務(wù)器。為了避免這種情況，您可以使用以下命令安裝nodemon。

npm install -g nodemon

現(xiàn)在使用下面的命令運(yùn)行服務(wù)器，它會(huì)在每次更改文件時(shí)自動(dòng)重新啟動(dòng)服務(wù)器。

nodemon index.js

步驟5：創(chuàng)建用戶(hù)數(shù)據(jù)庫(kù)模型

在根目錄下創(chuàng)建一個(gè)名為models的新目錄，并在其中創(chuàng)建一個(gè)名為User.js的新文件。

圖片

現(xiàn)在讓我們?yōu)槲覀兊捻?xiàng)目創(chuàng)建一個(gè)簡(jiǎn)單的模型，將以下代碼添加到User.js文件中。

const mongoose = require("mongoose");

const userSchema = new mongoose.Schema({
  username: {
    type: String,
    required: true,
    unique: true,
  },
  password: {
    type: String,
    required: true,
  },
});

module.exports = mongoose.model("User", userSchema);

步驟6：實(shí)現(xiàn)身份驗(yàn)證路由

在根目錄中，創(chuàng)建一個(gè)名為routes的新目錄，并在其中創(chuàng)建一個(gè)名為auth.js的文件。

圖片

然后將以下代碼添加到該文件中：

const express = require("express");
const jwt = require("jsonwebtoken");
const User = require("../models/User");
const router = express.Router();

// Signup route
router.post("/signup", async (req, res) => {
  try {
    const { username, password } = req.body;
    const user = new User({ username, password });
    await user.save();
    res.status(201).json({ message: "New user registered successfully" });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

// Login route
router.post("/login", async (req, res) => {
  const { username, password } = req.body;
  try {
    const user = await User.findOne({ username });

    if (!user) {
      return res.status(401).json({ message: "Invalid username or password" });
    }
    if (user.password !== password) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }
    // Generate JWT token
    const token = jwt.sign(
      { id: user._id, username: user.username },
      process.env.SECRET_KEY
    );
    res.json({ token });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

module.exports = router;

分解上面的代碼：

導(dǎo)入依賴(lài)：

const express = require("express");
const jwt = require("jsonwebtoken");
const User = require("../models/User");
const router = express.Router();

在這里，我們導(dǎo)入以下依賴(lài)項(xiàng)：

• express: 用于構(gòu)建Web服務(wù)器。
• jsonwebtoken：用于生成和驗(yàn)證JSON Web令牌（JWT）以進(jìn)行身份驗(yàn)證。
• User：從第5步中創(chuàng)建的User模塊導(dǎo)入的模型。
• router：Express中的Router()函數(shù)用于單獨(dú)定義路由，然后將其合并到主應(yīng)用程序中。

注冊(cè)路由：

// Signup route
router.post("/signup", async (req, res) => {
  try {
    const { username, password } = req.body;
    const user = new User({ username, password });
    await user.save();
    res.status(201).json({ message: "New user registered successfully" });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

• 此路由監(jiān)聽(tīng)對(duì)/signup的POST請(qǐng)求。
• 當(dāng)接收到請(qǐng)求時(shí)，它從請(qǐng)求體中提取username和password。
• 然后使用提供的用戶(hù)名和密碼創(chuàng)建User模型的一個(gè)新實(shí)例。
• 調(diào)用save()方法將新用戶(hù)保存到數(shù)據(jù)庫(kù)。
• 如果用戶(hù)成功保存，它會(huì)返回一個(gè)狀態(tài)碼201和一個(gè)JSON消息，表示“新用戶(hù)注冊(cè)成功”。
• 如果在此過(guò)程中發(fā)生錯(cuò)誤，它會(huì)捕獲錯(cuò)誤并以狀態(tài)代碼500和錯(cuò)誤消息“內(nèi)部服務(wù)器錯(cuò)誤”進(jìn)行響應(yīng)。

登錄路由：

// Login route
router.post("/login", async (req, res) => {
  const { username, password } = req.body;
  try {
    const user = await User.findOne({ username });

    if (!user) {
      return res.status(401).json({ message: "Invalid username or password" });
    }
    if (user.password !== password) {
      return res.status(401).json({ message: 'Invalid username or password' });
    }
    // Generate JWT token
    const token = jwt.sign(
      { id: user._id, username: user.username },
      process.env.SECRET_KEY
    );
    res.json({ token });
  } catch (error) {
    res.status(500).json({ message: "Internal server error" });
  }
});

• 此路由監(jiān)聽(tīng)對(duì)/login的POST請(qǐng)求。
• 當(dāng)接收到請(qǐng)求時(shí)，它從請(qǐng)求體中提取username和password。
• 然后在數(shù)據(jù)庫(kù)中使用提供的username搜索用戶(hù)。
• 如果沒(méi)有找到用戶(hù)，它會(huì)返回一個(gè)狀態(tài)碼401（未經(jīng)授權(quán)）和一個(gè)JSON消息，指示用戶(hù)名或密碼無(wú)效。
• 如果找到用戶(hù)，它會(huì)檢查提供的password是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的密碼匹配。
• 如果密碼不匹配，它會(huì)返回一個(gè)狀態(tài)碼401（未經(jīng)授權(quán)）和一個(gè)JSON消息，指示用戶(hù)名或密碼無(wú)效。
• 如果密碼匹配，它將使用jwt.sign()生成一個(gè)JWT。
• 生成的令牌然后作為JSON響應(yīng)發(fā)送。
• 如果在此過(guò)程中出現(xiàn)錯(cuò)誤，它會(huì)捕獲錯(cuò)誤并以狀態(tài)代碼500和錯(cuò)誤消息“內(nèi)部服務(wù)器錯(cuò)誤”進(jìn)行響應(yīng)。

最后路由被導(dǎo)出以在index.js文件中使用。

module.exports = router;

步驟7：使用中間件保護(hù)路由

在根目錄中，創(chuàng)建一個(gè)名為middleware.js的新文件，并將以下代碼添加到該文件中。

const jwt = require("jsonwebtoken");

function verifyJWT(req, res, next) {
  const token = req.headers["authorization"];

  if (!token) {
    return res.status(401).json({ message: "Access denied" });
  }

  jwt.verify(token, process.env.SECRET_KEY, (err, data) => {
    if (err) {
      return res.status(401).json({ message: "Failed to authenticate token" });
    }
    req.user = data;
    next();
  });
}

module.exports = verifyJWT;

此代碼是一個(gè)中間件函數(shù)，用于在應(yīng)用程序中驗(yàn)證JSON Web令牌（JWT）。

分解上面的代碼：

• 在第一行中，我們導(dǎo)入jsonwebtoken庫(kù)。
• 然后定義verifyJWT中間件函數(shù)，它有三個(gè)參數(shù)：req（請(qǐng)求對(duì)象）、res（響應(yīng)對(duì)象）和next（下一個(gè)中間件函數(shù)）。
• 在中間件函數(shù)內(nèi)部，它首先從請(qǐng)求頭中提取token令牌。
• 如果請(qǐng)求頭中沒(méi)有令牌，它將返回401（未經(jīng)授權(quán)）狀態(tài)沿著JSON響應(yīng)，指示“拒絕訪問(wèn)”。
• 如果存在令牌，它會(huì)嘗試使用jwt.verify()進(jìn)行驗(yàn)證。如果驗(yàn)證失敗，它會(huì)捕獲錯(cuò)誤并返回一個(gè)401狀態(tài)，其中包含一個(gè)JSON響應(yīng)，指示“Failed to authenticate token”。
• 如果令牌被成功驗(yàn)證，它將解碼的令牌數(shù)據(jù)附加到req.user對(duì)象。
• 最后導(dǎo)出verifyJWT函數(shù)，以便它可以用作應(yīng)用程序其他部分的中間件。

第8步：驗(yàn)證JWT

現(xiàn)在要驗(yàn)證JWT，請(qǐng)修改index.js，如下所示：

const express = require('express');
const authRouter = require('./routes/auth');
const mongoose = require("mongoose");
const verifyJWT = require("./middleware")

require("dotenv").config(); //for using variables from .env file.

const app = express();
const PORT = 3000;

mongoose.connect(process.env.MONGODB_URL).then(() => {
    console.log("MongoDB is connected!");
});
app.use(express.json());

//Authentication route
app.use('/auth', authRouter);

//decodeDetails Route
app.get('/decodeDetails', verifyJWT, (req, res) => {
  const { username } = req.user;
  res.json({ username });
});

app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

在上面的代碼中，/auth路由是authRouter處理，其中包含的終端用戶(hù)認(rèn)證，例如登錄和注冊(cè)。

app.get('/decodeDetails', verifyJWT, (req, res) => {
  const { username } = req.user;
  res.json({ username });
});

• 當(dāng)向/decodeDetails發(fā)出請(qǐng)求時(shí)，verifyJWT中間件驗(yàn)證附加到請(qǐng)求的JWT令牌。
• 如果令牌有效，則中間件從req.user中存儲(chǔ)的解碼令牌數(shù)據(jù)中提取username。
• 最后路由處理程序發(fā)送一個(gè)JSON響應(yīng)，其中包含從令牌中提取的username。

步驟9：測(cè)試API

注冊(cè)

向http://localhost:3000/auth/signup發(fā)送一個(gè)POST請(qǐng)求，其中包含Headers Content-Type : application/json和以下JSON主體：

{
    "username": "shefali",
    "password": "12345678"
}

在響應(yīng)中，您將看到消息“新用戶(hù)注冊(cè)成功”。

登錄

向http://localhost:3000/auth/login發(fā)送一個(gè)POST請(qǐng)求，其中包含Header Content-Type : application/json和JSON主體以及用戶(hù)名和密碼，這是您在注冊(cè)路由中創(chuàng)建的。

{
    "username": "shefali",
    "password": "12345678"
}

在響應(yīng)中，您將收到一個(gè)令牌。記下這個(gè)令牌，因?yàn)樵跍y(cè)試decodeDetails路由時(shí)需要它。

decodeDetails

向http://localhost:3000/decodeDetails發(fā)送一個(gè)GET請(qǐng)求，并帶有一個(gè)帶有令牌值的Authorization頭（您在測(cè)試登錄路由時(shí)得到了它）。

在響應(yīng)中，您將獲得用戶(hù)名。恭喜你！??

您已經(jīng)在Node.js應(yīng)用程序中成功實(shí)現(xiàn)了JWT身份驗(yàn)證。這種方法提供了一種安全有效的方式來(lái)驗(yàn)證Web應(yīng)用程序中的用戶(hù)。