全栈之初识 Passport & Passport-jwt – Web安全的守护神

一、Passport 简介

passport.js是Nodejs中的一个做登录验证的中间件，极其灵活和模块化，并且可与Express、Sails等Web框架无缝集成。Passport功能单一，即只能做登录验证，但非常强大，支持本地账号验证和第三方账号登录验证（OAuth和OpenID等），支持大多数Web网站和服务。

• 官网： http://passportjs.org/
• Github： http://github.com/jaredhanson/passport
• NPM： https://www.npmjs.org/package/passport

二、Passport详解

具体详解 W3Cschool 有详细教程，这里不再赘述。
https://www.w3cschool.cn/passport_js_note/ncgd1ozt.html

三、Passport-jwt

1、安装

npm install passport-jwt

2、用法

（1）、配置策略
JWT认证策略的构造如下：

new JwtStrategy(options, verify)

参数：
options 是包含用于控制如何从请求中提取令牌或者被验证的选项的对象文本。

• secretOrKey 是包含加密( 对称) 或者 public 编码密钥( 非对称)的字符串或者缓冲区，用于验证令牌的签名。 除非提供 secretOrKeyProvider，否则需要。
• secretOrKeyProvider 是格式中的回调 function secretOrKeyProvider(request, rawJwtToken, done) 应该为给定密钥和请求组合调用一个密码或者 done 编码的public 密钥( 非对称)。 done 以 function done(err, secret) 格式接受参数。 除非提供 secretOrKey，否则需要。
• jwtFromRequest 接受请求作为唯一参数并将作为字符串或者字符串返回的jwtFromRequest ( 必选) 函数 null。 有关详细信息，请参阅从请求列表中提取 JWT。
• issuer: 如果定义了令牌颁发者( iss )，将根据这个值验证。
• audience: 如果定义了，则令牌受众( 音频) 将根据这里值进行验证。
• algorithms: 带允许算法名称的字符串列表。 例如 ["HS256","HS384"]。
• ignoreExpiration: 如果 true 不验证令牌的到期时间。
• passReqToCallback: 如果 true，请求将被传递到验证回调。 verify( req，jwt_payload，done_callback )。
• jsonWebTokenOptions: passport-jwt使用 jsonwebtoken 验证令牌。

verify 是具有参数 verify(jwt_payload, done)的函数

• jwt_payload 是包含解码的JWT负载的对象文字。
• done 是 Passport 错误，第一个回调接受参数( 错误，用户，信息)

(2) 从请求中提取 JWT
可以将JWT包含在请求中的方法有多种。 为了保持尽可以能灵活，JWT从请求中解析为 jwtFromRequest 参数传递的用户回调。 从现在开始，这个回调将接受请求对象作为参数，并返回编码的JWT字符串或者 null。

passport-jwt.ExtractJwt 中提供了许多提取器工厂函数。 这些工厂函数返回一个使用给定参数配置的新抽取器。

• fromHeader(header_name) 创建一个新的提取器，它在给定的http头中查找 JWT
• fromBodyField(field_name) 创建一个新的提取器，它在给定的主体字段中查找 JWT。 你必须配置了主体解析器才能使用这里方法。
• fromUrlQueryParameter(param_name) 创建一个新的提取器，它在给定的URL查询参数中查找 JWT。
• fromAuthHeaderWithScheme(auth_scheme) 为在授权标头中查找JWT创建一个新的提取器，期望该方案匹配 auth_scheme。
• fromAuthHeaderAsBearerToken() 创建一个新的提取器，该提取器在授权标头中查找该方案"with"的JWT’
• fromExtractors([array of extractor functions]) 使用提供的提取器的array 创建一个新的提取器。 每个提取器都按顺序尝试，直到返回一个标记。

（3）编写自定义提取程序函数
如果所提供的提取器不满足你的需求，你可以轻松提供你自己的回调。 例如，如果使用cookie解析器中间件并想在cookie中提取 JWT，可以使用以下函数作为jwtFromRequest选项的参数：

var cookieExtractor = function(req) {
 var token = null;
 if (req && req.cookies) {
 	token = req.cookies['jwt'];
 }
 return token;
};

(4) passport-local 策略实例

const JwtStrategy = require('passport-jwt').Strategy
const ExtractJwt = require('passport-jwt').ExtractJwt
const User = require('../models/user')

const config = require('../config')

const opts = {
  // Prepare the extractor from the header.
  jwtFromRequest: ExtractJwt.fromExtractors([
    req => req.cookies['authorization'],
    ExtractJwt.fromUrlQueryParameter('access_token'),
    ExtractJwt.fromAuthHeaderWithScheme('Bearer'),
  ]),
  // Use the secret passed in which is loaded from the environment. This can be
  // a certificate (loaded) or a HMAC key.
  secretOrKey: config.JWT_SECRET,
  // Verify the issuer.
  issuer: config.JWT_ISSUER,
  // Verify the audience.
  audience: config.JWT_AUDIENCE,
  // Enable only the HS256 algorithm.
  algorithms: [config.JWT_ALG],
  // Pass the request object back to the callback so we can attach the JWT to it.
  passReqToCallback: true
}

module.exports = passport => {
  passport.use(new JwtStrategy(opts, async function (req, jwt_payload, done) {
    try {
      const userInfo = await User.findOne({
        user_uuid: jwt_payload.user_uuid
      })
      if (userInfo && userInfo.user_role > 0) {
        done(null, userInfo)
      } else {
        done(null, false)
      }
    } catch (e) {
      return done(e)
    }
  }))
}

---

如果想继续学习 JWT 请查看我另外一篇文章：
全栈之初识JWT – Web安全的守护神
如果想继续学习 JWT && Passport 联合应用 请查看我另外一篇文章：
全栈之鉴权之旅 – JWT + passport 实现 Token 验证（Node + Express）

---

觉得有帮助的小伙伴右上角点个赞~

扫描上方二维码关注我的订阅号~