全栈之初识 Passport & Passport-jwt – Web安全的守护神

1、Passport 简介

passport.js是Nodejs中的一个作登陆验证的中间件，极其灵活和模块化，而且可与Express、Sails等Web框架无缝集成。Passport功能单一，即只能作登陆验证，但很是强大，支持本地帐号验证和第三方帐号登陆验证（OAuth和OpenID等），支持大多数Web网站和服务。

• 官网： http://passportjs.org/
• Github： http://github.com/jaredhanson/passport
• NPM： https://www.npmjs.org/package/passport

2、Passport详解

具体详解 W3Cschool 有详细教程，这里再也不赘述。
https://www.w3cschool.cn/passport_js_note/ncgd1ozt.html

3、Passport-jwt

一、安装

npm install passport-jwt

二、用法

（1）、配置策略
JWT认证策略的构造以下：

new JwtStrategy(options, verify)

参数：
options 是包含用于控制如何从请求中提取令牌或者被验证的选项的对象文本。

• secretOrKey 是包含加密( 对称) 或者 public 编码密钥( 非对称)的字符串或者缓冲区，用于验证令牌的签名。 除非提供 secretOrKeyProvider，不然须要。
• secretOrKeyProvider 是格式中的回调 function secretOrKeyProvider(request, rawJwtToken, done) 应该为给定密钥和请求组合调用一个密码或者 done 编码的public 密钥( 非对称)。 done 以 function done(err, secret) 格式接受参数。 除非提供 secretOrKey，不然须要。
• jwtFromRequest 接受请求做为惟一参数并将做为字符串或者字符串返回的jwtFromRequest ( 必选) 函数 null。 有关详细信息，请参阅从请求列表中提取 JWT。
• issuer: 若是定义了令牌颁发者( iss )，将根据这个值验证。
• audience: 若是定义了，则令牌受众( 音频) 将根据这里值进行验证。
• algorithms: 带容许算法名称的字符串列表。 例如 ["HS256","HS384"]。
• ignoreExpiration: 若是 true 不验证令牌的到期时间。
• passReqToCallback: 若是 true，请求将被传递到验证回调。 verify( req，jwt_payload，done_callback )。
• jsonWebTokenOptions: passport-jwt使用 jsonwebtoken 验证令牌。

verify 是具备参数 verify(jwt_payload, done)的函数

• jwt_payload 是包含解码的JWT负载的对象文字。
• done 是 Passport 错误，第一个回调接受参数( 错误，用户，信息)

(2) 从请求中提取 JWT
能够将JWT包含在请求中的方法有多种。 为了保持尽能够能灵活，JWT从请求中解析为 jwtFromRequest 参数传递的用户回调。 从如今开始，这个回调将接受请求对象做为参数，并返回编码的JWT字符串或者 null。

passport-jwt.ExtractJwt 中提供了许多提取器工厂函数。 这些工厂函数返回一个使用给定参数配置的新抽取器。

• fromHeader(header_name) 建立一个新的提取器，它在给定的http头中查找 JWT
• fromBodyField(field_name) 建立一个新的提取器，它在给定的主体字段中查找 JWT。 你必须配置了主体解析器才能使用这里方法。
• fromUrlQueryParameter(param_name) 建立一个新的提取器，它在给定的URL查询参数中查找 JWT。
• fromAuthHeaderWithScheme(auth_scheme) 为在受权标头中查找JWT建立一个新的提取器，指望该方案匹配 auth_scheme。
• fromAuthHeaderAsBearerToken() 建立一个新的提取器，该提取器在受权标头中查找该方案"with"的JWT'
• fromExtractors([array of extractor functions]) 使用提供的提取器的array 建立一个新的提取器。 每一个提取器都按顺序尝试，直到返回一个标记。

（3）编写自定义提取程序函数
若是所提供的提取器不知足你的需求，你能够轻松提供你本身的回调。 例如，若是使用cookie解析器中间件并想在cookie中提取 JWT，可使用如下函数做为jwtFromRequest选项的参数：

var cookieExtractor = function(req) {
 var token = null;
 if (req && req.cookies) {
     token = req.cookies['jwt'];
 }
 return token;
};

(4) passport-local 策略实例

const JwtStrategy = require('passport-jwt').Strategy
const ExtractJwt = require('passport-jwt').ExtractJwt
const User = require('../models/user')

const config = require('../config')

const opts = {
  // Prepare the extractor from the header.
  jwtFromRequest: ExtractJwt.fromExtractors([
    req => req.cookies['authorization'],
    ExtractJwt.fromUrlQueryParameter('access_token'),
    ExtractJwt.fromAuthHeaderWithScheme('Bearer'),
  ]),
  // Use the secret passed in which is loaded from the environment. This can be
  // a certificate (loaded) or a HMAC key.
  secretOrKey: config.JWT_SECRET,
  // Verify the issuer.
  issuer: config.JWT_ISSUER,
  // Verify the audience.
  audience: config.JWT_AUDIENCE,
  // Enable only the HS256 algorithm.
  algorithms: [config.JWT_ALG],
  // Pass the request object back to the callback so we can attach the JWT to it.
  passReqToCallback: true
}

module.exports = passport => {
  passport.use(new JwtStrategy(opts, async function (req, jwt_payload, done) {
    try {
      const userInfo = await User.findOne({
        user_uuid: jwt_payload.user_uuid
      })
      if (userInfo && userInfo.user_role > 0) {
        done(null, userInfo)
      } else {
        done(null, false)
      }
    } catch (e) {
      return done(e)
    }
  }))
}

---

若是想继续学习 JWT 请查看我另一篇文章：
全栈之初识JWT -- Web安全的守护神
若是想继续学习 JWT && Passport 联合应用 请查看我另一篇文章：
全栈之鉴权之旅 -- JWT + passport 实现 Token 验证（Node + Express）

---

以为有帮助的小伙伴右上角点个赞~

扫描上方二维码关注个人订阅号~

本文由博客一文多发平台 OpenWrite 发布！