node.js - 使用 Express JS 检查 API 请求授权的更好方法

Question

我有一个 super 冗余的 server.js 文件，因为其中几乎所有属于 REST API 的方法都是这样开始的，因为我必须检查 API 请求是否授权客户端请求特定的东西。

var jwt = require('jsonwebtoken');

// ...

app.get('/getsomething', function(req, res) {
  "use strict";
  var token = req.headers[tokenName];
  if (token) {
    jwt.verify(token, app.get('some_secret'), {
      ignoreExpiration: false
    }, function(err, decoded) {
      if (err || typeof decoded === "undefined") {
        res.json({
          status: 401,
          message: "unauthorized"
        });
      }
      else { // actual code starts here...

什么是更好的方法？

Answer 1

您应该有一个中间件来检查每个传入的请求，如下所示:

// AUTHENTICATION
app.use(async (req) => {
    try {
        const token = req.headers.authorization
        const { person } = await jwt.verify(token, SECRET)
        req.person = person
        return req.next()
    } catch (e) {
        return req.next()
    }
})

在这个例子中，成功或失败都允许用户通过路由，但是 req.person 只有在用户登录时才会被填充。记住，这是一个异步的由于 async 关键字而产生的功能。它返回一个 promise ，我们正在使用 try/catch 架构。这允许我们使用 await 来暂停执行，直到 jwt.verify() 填充了 person。这使得 req.person 在每条 route 都可用。在此示例中，person 是您在执行 jwt.sign() 以创建 JWT 时指定的属性。这是一个可以唤起您内存的示例:

jwt.sign({
  person: 'some unique identifier'
}, 'secret', { expiresIn: '1y' })

这样，req.person 只能通过解码有效的 JWT 来填充。不要被 const { person } = await jwt.verify(token, SECRET) 搞糊涂了。这与编写相同:

const decodedJWT = await jwt.verify(token, SECRET)
const person = decodedJWT.person

在每个 protected 路由中，您可以简单地使第一行代码类似于:

// PROTECTED
app.get('/radical', async (req, res, next) => {
    try {
        // If req.person is falsy, the user is not logged in
        if (!req.person) return res.status(403).render('error/403')
        // Otherwise, the user is logged in, allow him/her to continue
        // Replace res.render() with res.json() in your case.
        return res.render('radical/template', {
            person: req.person
        })
    } catch (e) {
        return next(e)
    }
})

这个例子演示了 EJS View 模板引擎:

• 参见:https://www.npmjs.com/package/ejs

然后，在所有路由之后，放置一个 splat 路由和一个错误处理中间件:

// SPLAT ROUTE
app.get('*', (req, res, next) => {
    return res.status(404).render('error/404')
})

// ERRORS
app.use((err, req, res, next) => {
    res.status(500).render('error/500')
    throw err
})

错误处理中间件需要放在最后，它有一个额外的第 4 个参数是 err，它包含 next() 的参数值，只有当您向它传递一个参数，即:next('Error happened')。

上面的代码也可以在不对 GraphQL 进行任何更改的情况下使用。要在 GraphQL 中处理身份验证，只需检查一下:

// GRAPHQL
app.use('/graphql', bodyParser.json(), graphqlExpress((req) => {
    const context = {
        person: req.person
    }
    return {
        schema,
        context,
        rootValue: null,
        formatError: (error) => ({
            message: error.message,
            locations: error.locations,
            stack: error.stack,
            path: error.path
        }),
        debug: true
    }
}))

GraphQL 端点必须安装在身份验证中间件之后。登录用户将在每个解析器中作为 context.person 可用，或者如果请求是非法的，context.person 将是假的。我会为以后搜索的任何其他人提及这一点。