基于角色的 jwt 授权

【问题标题】:Role based jwt authorization基于角色的 jwt 授权
【发布时间】:2017-12-14 23:43:54
【问题描述】:

我正在尝试使用 JSON Web 令牌对 Node.js API 进行身份验证。我可以生成令牌对用户进行身份验证。现在我需要根据用户角色保护我的 API。 这是我如何路由中间件以进行身份​​验证和检查令牌。

var app = express();

var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {

    var token = req.body.token || req.param('token') || req.headers['x-access-token'];

    if (token) {
        jwt.verify(token, app.get('superSecret'), function (err, decoded) {
            if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
            } else {
                req.decoded = decoded;
                next();
            }
        });

    } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
    }
});

apiRoutes.get('/check', function (req, res) {
    //...
});

app.use('/api', apiRoutes);

这样,我保护 API 说/api/check。这只能通过admin user 访问。现在我有另一个super user 可以访问/api/validate,而admin user 无法访问。我怎样才能保护/api/validate 只为super user。我是否需要再编写一个中间件来执行此操作?

这是我现在进行管理员检查的方法,

apiRoutes.post('/delete/:id',requireAdmin, function (req, res) {
//do the rest
};

function requireAdmin(req, res, next) {
    var currentUserRole=".."; //get current user role
    if('admin' == currentUserRole )
     {
         next();
     }
     else{
          next(new Error("Permission denied."));
    return;
     }  
};

类似requireSuperUser 功能用于超级用户检查。这是进行管理员/超级用户检查的正确方法吗?

【问题讨论】:

    标签: node.js jwt


    【解决方案1】:

    创建 JWT 时,您可以提供自己的有效负载作为私有声明。例如:

    {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "superUser": false
}

    同样的方式,您也许可以为登录用户列出一组用户角色

    {
  "sub": "1234567890",
  "name": "John Doe",
  "roles": [
    "ADMIN",
    "SUPERUSER"
  ]
}

    然后需要解码令牌(最好使用 express.js 中间件进行此身份验证/授权)并检查角色并在不允许时抛出 HTTP 401。如果允许,请拨打next(); 继续并输入匹配的路线。

    这种可能的中间件功能的小例子:

    function canAccess(req, res, next) {
  checkAuthorization(req, function (err, authorized) {
      if (err || !authorized) {
          res.send({message: 'Unauthorized', status: 401});
      }

      next();
  });

  function checkAuthorization(req, callback) {
      // jwt decode and actual authentication admin/superuser matching goes here..
  }
}

router.use(canAccess);

    有关 JWT 声明的更多信息:https://jwt.io/introduction

    更多关于expressjs中间件的信息:https://expressjs.com/en/guide/using-middleware.html

    【讨论】:

    • 只是一个小补充:401 是缺少或无效令牌的代码,但如果用户无权访问资源(令牌本身是有效的),服务器应该返回 403。
    【解决方案2】:

    添加requireAdmin函数并通过解码payload检查角色是否为管理员。

    api.post('/create',requireAdmin, function (req, res) {
   //.....
}

function requireAdmin(request, response, next) {
    if (request.decoded.role != 'admin') {
        response.json({message: 'Permission denied.' });
    }
    else {
        next();
    }
};

    【讨论】:

      猜你喜欢
      • 2018-04-17
      • 2017-06-24
      • 2020-07-09
      • 2016-07-20
      • 2020-09-13
      • 2022-01-01
      • 2018-11-01
      • 2020-11-29
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode