Node.js+MongoDB对于RestfulApi中用户token认证明践
关于安全性方面的建议
能够参考这篇总结 开发安全的 API 所须要核对的清单javascript
安装
git clone https://github.com/Nicksapp/nAuth-restful-api.git前端
运行
npm installjava
具体数据库配置信息在config.js中设置node
总体构架
开发前先进行咱们设计的构想git
-
路由设计github
- POST /api/signup: 用户注册
- POST /api/user/accesstoken: 帐号验证,获取token
- GET /api/users/info: 得到用户信息,需验证
-
user 模型设计web
- name : 用户名
- password: 密码
- token: 验证相关token
关于RESTful API
网上已经有了不少关于RESTful的介绍,我这里也不过多重复了。想说的就是它的主要做用,就是对于现现在的网络应用程序,分为前端和后端两个部分,然而当前的发展趋势就是应用平台需求的扩大(IOS、Android、Webapp等等)mongodb
所以,就须要一种统一的机制,方便不一样的应用平台的前端设备与后端进行通讯,也就是先后端的分离。这致使了API架构的流行,甚至出现"API First"的设计思想。RESTful API则是目前比较成熟的一套互联网应用程序的API设计理论。数据库
技术栈
使用Node.js上的Express框架进行咱们的路由设计,Mongoose来与Mongodb数据库链接交互,使用Postman对咱们设计的Api进行调试,快动起手来吧!express
API设计中的token的思路
在API设计中,TOKEN用来判断用户是否有权限访问API.TOKEN首先不须要编解码处理. 通常TOKEN都是一些用户名+时间等内容的MD5的不可逆加密.而后经过一个USER_TOKEN表来判断用户请求中包含的TOKEN与USER_TOKEN表中的TOKEN是否一致便可.
具体实践过程主要为:
- 设定一个密钥好比key = ‘2323dsfadfewrasa3434'。
- 这个key 只有发送方和接收方知道。
- 调用时,发送方,组合各个参数用密钥 key按照必定的规则(各类排序,MD5,ip等)生成一个access_key。一块儿post提交到API接口。
- 接收方拿到post过来的参数以及这个access_key。也和发送同样,用密钥key 对各个参数进行同样的规则(各类排序,MD5,ip等)也生成一个access_key2。
- 对比 access_key 和 access_key2 。同样。则容许操做,不同,报错返回或者加入黑名单。
token设计具体实践
废话很少说,先进入看咱们的干货,此次选用Node.js+experss配合Mongoose来进入REST的token实践
项目地址: GitHub地址
或 git clone https://github.com/Nicksapp/nAuth-restful-api.git
新建项目
先看看咱们的项目文件夹
- routes/ ---- index.js ---- users.js - models/ ---- user.js - config.js - package.json - passport.js - index.js
npm init建立咱们的package.json
接着在项目根文件夹下安装咱们所需的依赖
npm install express body-parser morgan mongoose jsonwebtoken bcrypt passport passport-http-bearer --save
- express: 咱们的主要开发框架
- mongoose: 用来与MongoDB数据库进行交互的框架,请提早安装好MongoDB在PC上
- morgan: 会将程序请求过程的信息显示在Terminal中,以便于咱们调试代码
- jsonwebtoken: 用来生成咱们的token
- passport: 很是流行的权限验证库
- bcrypt: 对用户密码进行hash加密
-- save会将咱们安装的库文件写入package.json的依赖中,以便其余人打开项目是可以正确安装所需依赖.
用户模型
定义咱们所需用户模型,用于moogoose,新建models/user.js
const mongoose = require('mongoose');
const Schema = mongoose.Schema;
const bcrypt = require('bcrypt');
const UserSchema = new Schema({
name: {
type: String,
unique: true, // 不可重复约束
require: true // 不可为空约束
},
password: {
type: String,
require: true
},
token: {
type: String
}
});
// 添加用户保存时中间件对password进行bcrypt加密,这样保证用户密码只有用户本人知道
UserSchema.pre('save', function (next) {
var user = this;
if (this.isModified('password') || this.isNew) {
bcrypt.genSalt(10, function (err, salt) {
if (err) {
return next(err);
}
bcrypt.hash(user.password, salt, function (err, hash) {
if (err) {
return next(err);
}
user.password = hash;
next();
});
});
} else {
return next();
}
});
// 校验用户输入密码是否正确
UserSchema.methods.comparePassword = function(passw, cb) {
bcrypt.compare(passw, this.password, (err, isMatch) => {
if (err) {
return cb(err);
}
cb(null, isMatch);
});
};
module.exports = mongoose.model('User', UserSchema);
配置文件
./config.js 用来配置咱们的MongoDB数据库链接和token的密钥。
module.exports = {
'secret': 'learnRestApiwithNickjs', // used when we create and verify JSON Web Tokens
'database': 'mongodb://localhost:27017/test' // 填写本地本身 mongodb 链接地址,xxx为数据表名
};
本地服务器配置
./index.js 服务器配置文件,也是程序的入口。
这里咱们主要用来包含咱们程序须要加载的库文件,调用初始化程序所须要的依赖。
const express = require('express');
const app = express();
const bodyParser = require('body-parser');// 解析body字段模块
const morgan = require('morgan'); // 命令行log显示
const mongoose = require('mongoose');
const passport = require('passport');// 用户认证模块passport
const Strategy = require('passport-http-bearer').Strategy;// token验证模块
const routes = require('./routes');
const config = require('./config');
let port = process.env.PORT || 8080;
app.use(passport.initialize());// 初始化passport模块
app.use(morgan('dev'));// 命令行中显示程序运行日志,便于bug调试
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json()); // 调用bodyParser模块以便程序正确解析body传入值
routes(app); // 路由引入
mongoose.Promise = global.Promise;
mongoose.connect(config.database); // 链接数据库
app.listen(port, () => {
console.log('listening on port : ' + port);
})
路由配置
./routes 主要存放路由相关文件
./routes/index.js 路由总入口,引入所使用路由
module.exports = (app) => {
app.get('/', (req, res) => {
res.json({ message: 'hello index!'});
});
app.use('/api', require('./users')); // 在全部users路由前加/api
};
./routes/users.js
const express = require('express');
const User = require('../models/user');
const jwt = require('jsonwebtoken');
const config = require('../config');
const passport = require('passport');
const router = express.Router();
require('../passport')(passport);
// 注册帐户
router.post('/signup', (req, res) => {
if (!req.body.name || !req.body.password) {
res.json({success: false, message: '请输入您的帐号密码.'});
} else {
var newUser = new User({ // 在库中建立一个新用户
name: req.body.name,
password: req.body.password
});
// 保存用户帐号
newUser.save((err) => {
if (err) {
return res.json({success: false, message: '注册失败!'});
}
res.json({success: true, message: '成功建立新用户!'});
});
}
});
// 检查用户名与密码并生成一个accesstoken若是验证经过
router.post('/user/accesstoken', (req, res) => {
User.findOne({ // 根据用户名查找是否存在该用户
name: req.body.name
}, (err, user) => {
if (err) {
throw err;
}
if (!user) {
res.json({success: false, message:'认证失败,用户不存在!'});
} else if(user) {
// 检查密码是否正确
user.comparePassword(req.body.password, (err, isMatch) => {
if (isMatch && !err) {
var token = jwt.sign({name: user.name}, config.secret,{
expiresIn: 10080 // token 过时销毁时间设置
});
user.token = token;
user.save(function(err){
if (err) {
res.send(err);
}
});
res.json({
success: true,
message: '验证成功!',
token: 'Bearer ' + token,
name: user.name
});
} else {
res.send({success: false, message: '认证失败,密码错误!'});
}
});
}
});
});
// passport-http-bearer token 中间件验证
// 经过 header 发送 Authorization -> Bearer + token
// 或者经过 ?access_token = token
router.get('/user/user_info',
passport.authenticate('bearer', { session: false }),
function(req, res) {
res.json({username: req.user.name});
});
module.exports = router;
passport配置
./passport.js 配置权限模块所需功能
const passport = require('passport');
const Strategy = require('passport-http-bearer').Strategy;
const User = require('./models/user');
const config = require('./config');
module.exports = function(passport) {
passport.use(new Strategy(
function(token, done) {
User.findOne({
token: token
}, function(err, user) {
if (err) {
return done(err);
}
if (!user) {
return done(null, false);
}
return done(null, user);
});
}
));
};
主要验证发送的token值与用户服务器端token值是否匹配,进行信息验证。
具体调试
如今就能够运行咱们的代码看具体运做过程了!为了便于调试与参数的收发,咱们使用postman(可在Chrome上或Mac上安装)来操做.
node index运行咱们的本地服务器,访问 [localhost:8080/]()
应该就能够看到咱们所返回的初始json值了,然咱们继续深刻测试。
POST访问[localhost:8080/api/signup](),咱们来注册一个新用户,注意要设置body的Content-Type为x-www-form-urlencoded 以便咱们的body-parser可以正确解析,好的咱们成功模拟建立了咱们的新用户。
链接一下数据库看下咱们的用户信息是否也被正确存储(注:我使用的是MongoChef,十分强大MongoDB数据库管理软件),咱们能够看到,个人password也被正确加密保存了。
接着POST访问[localhost:8080/api/user/accesstoken](),来为个人用户得到专属token,POST过程与注册相关,能够看到也正确生成咱们的token值。
再看下咱们的数据库中的用户信息,token值也被存入了进来,便于咱们以后进行权限验证。
GET访问[localhost:8080/api/user/user_info](),同时将咱们的token值在Header中以 Authorization: token 传入,正确得到用户名则表示咱们访问请求经过了验证。
若是token值不正确,则返回HTTP状态码 401 Unauthorized 并拒绝访问请求。到这里咱们的权限验证功能也就基本实现了。
总结
但愿在看完这篇教程后可以对你在RESTful Api开发上有所启发,小生才疏学浅,过程当中有什么不足的地方也欢迎指正。
- 1. Django JWT Token RestfulAPI用户认证
- 2. 基于 JWT + Refresh Token 的用户认证明践
- 3. Docker Registry采用token认证明践
- 4. 基于 Token 的用户认证
- 5. djangorestframework-jwt 用户token认证
- 6. 登录验证明践——Token & Refresh Token
- 7. Docker Registry采用token认证实践
- 8. 基于token的认证
- 9. 基于客户端app认证 使用令牌token
- 10. django基于存储在前端的token用户认证
- 更多相关文章...
- • PHP EOF(heredoc) 使用说明 - PHP教程
- • MySQL删除用户(DROP USER) - MySQL教程
- • Github 简明教程
- • C# 中 foreach 遍历的用法
-
每一个你不满意的现在,都有一个你没有努力的曾经。