Xác thực trong NodeJS sử dụng JSON Web Token


1. Giới thiệu JSON web token
Xác thực dựa trên token nổi bật khắp mọi nơi trên ứng dụng web ngày nay. Với hầu hết mọi ứng dụng web sử dụng API, token là cách tốt nhất để xử lý xác thực cho nhiều người dùng.
Xác thực dựa trên token là stateless: không lưu trữ bất kỳ thông tin nào về user trên server hoặc trong session.
JSON Web Token (JWT) là 1 tiêu chuẩn mở (RFC 7519) định nghĩa cách thức truyền tin an toàn giữa các thành viên bằng một đối tượng JSON. Thông tin này có thể được xác thực và đánh dấu tin cậy nhờ vào "chữ ký" của nó. Phần chữ ký của JWT sẽ được mã hóa lại bằng HMAC hoặc RSA.
JSON Web Token bao gồm 3 phần, được ngăn cách nhau bởi dấu chấm (.):
  • Header
  • Payload
  • Signature
2. Xây dựng ứng dụng xác thực sử dụng JSON web token
Chúng ta sẽ xây dựng một API sử dụng Nodejs và Express.
Workflow chính gồm:
  • Ứng dụng có các routes yêu cầu xác thực và không yêu cầu xác thực
  • User sẽ xác thực bằng cách gửi username, password và nhận về token
  • User lưu trữ token phía client-side and gửi nó đối với mỗi request
  • Server sẽ validate token, nếu token hợp lệ sẽ trả lại thông tin theo JSON format
API sẽ được xây dựng gồm các route:
  • Normal routes(không yêu cầu xác thực)
  • Route middleware để xác thực token
  • Route để xác thực một user và password và lấy token
  • Authenticated routes để lấy toàn bộ user
Cấu trúc thư mục:
- app/
----- models/
---------- user.js
- config.js
- package.json
- server.js
Cài đặt package yêu cầu trong ứng dụng trong package.jon file
{
  "name": "JSON web token demo",
  "version": "0.0.0",
  "dependencies": {
    "body-parser": "~1.16.0",
    "cookie-parser": "~1.4.3",
    "debug": "~2.6.0",
    "dotenv": "^4.0.0",
    "express": "~4.14.1",
    "jsonwebtoken": "^7.3.0",
    "mongoose": "^4.8.3",
    "morgan": "~1.7.0"
  }
}
Khởi tạo model User: sử dụng khi tạo và lấy thông tin user.
var mongoose = require('mongoose');
var Schema = mongoose.Schema;

module.exports = mongoose.model('User', new Schema({
  name: String,
  password: String,
  admin: Boolean
}));
Tạo config.js file để lưu trữ biến và config ứng dụng
module.exports = {
  secret: 'jsonwebtoken',
  url : 'mongodb://localhost/'
};
  • secret: được sử dụng khi tạo và verify JSON web token
  • url: uri kết nối tới mongodb
Tạo API router bao gồm:
Tạo file server.js
var express     = require('express');
var app         = express();
var bodyParser  = require('body-parser');
var morgan      = require('morgan');
var mongoose    = require('mongoose');
var jwt    = require('jsonwebtoken'); 
var config = require('./config'); 
var User   = require('./app/models/user'); 

var port = process.env.PORT || 8080; 
mongoose.connect(config.database); 
app.set('superSecret', config.secret); 

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());
app.use(morgan('dev'));

app.get('/', function(req, res) {
  res.send('The API is at http://localhost:' + port + '/api');
});

app.listen(port);
Bây giờ chúng ta đã có thể start Node server
$ node server.js
$ curl http://localhost:8080
The API is at http://localhost:8080/api
Tạo user sử dụng User model
app.get('/setup', function(req, res) {
  var nick = new User({ 
    name: 'Nick Cerminara', 
    password: 'password',
    admin: true 
  });

  nick.save(function(err) {
    if (err) throw err;
    console.log('User saved successfully');
    res.json({ success: true });
  });
});

$ curl http://localhost:8080/setup
{"success":true}
Show thông tin user
var apiRoutes = express.Router(); 

apiRoutes.get('/', function(req, res) {
  res.json({ message: 'Welcome to API' });
});

apiRoutes.get('/users', function(req, res) {
  User.find({}, function(err, users) {
    res.json(users);
  });
});   

app.use('/api', apiRoutes);
Xác thực vào tạo token
var apiRoutes = express.Router(); 

apiRoutes.post('/authenticate', function(req, res) {
  User.findOne({
    name: req.body.name
  }, function(err, user) {
    if (err) throw err;
    if (!user) {
      res.json({ success: false, message: 'Authentication failed. User not found.' });
    } else if (user) {
      if (user.password != req.body.password) {
        res.json({ success: false, message: 'Authentication failed. Wrong password.' });
      } else {
        var token = jwt.sign(user, app.get('superSecret'), {
          expiresInMinutes: 1440 
        });
        res.json({
          success: true,
          message: 'Enjoy your token!',
          token: token
        });
      }   
    }
  });
});

$ curl -X POST http://localhost:8080/api/authenticate
{"success":false,"message":"Authentication failed. User not found."}
Route middleware
Chúng ta đã định nghĩa 3 routes:
  • /api/authenticate
  • /api
  • /api/users
Bây giờ chúng ta sẽ đi vào tạo route middleware để bảo vệ 2 routes yêu cầu xác thực.
var apiRoutes = express.Router(); 

apiRoutes.use(function(req, res, next) {
  var token = req.body.token || req.query.token || req.headers['x-access-token'];
  if (token) {
    jwt.verify(token, app.get('superSecret'), function(err, decoded) {      
      if (err) {
        return res.json({ success: false, message: 'Failed to authenticate token.' });    
      } else {
        req.decoded = decoded;    
        next();
      }
    });
  } else {
    return res.status(403).send({ 
      success: false, 
      message: 'No token provided.' 
    });
  }
});

app.use('/api', apiRoutes);
Chúng ta sử dụng jsonwebtoken package để kiểm tra token đã đựợc pass vào dựa trên secret đã được config. Chúng ta cũng tạo HTTP respone với code 403 và user không đựợc xác thực để xem bất kỳ dữ liệu nào.
Nếu token là hợp lệ thì request sẽ được chuyển đến routes khác qua req object
$ curl http://localhost:8080/api/users?token=eyJ0eXAiOiJ...Yw

[{"_id":"58d93b517a65e643b25ce0f3","
name":"Nick Cerminara",
"password":"password",
"admin":true,
"__v":0}]
Tài liệu tham khảo:

Comments

Post a Comment

Popular posts from this blog

So sánh giữa Node.js và Golang

Gần đây, đã có những lời chỉ trích về giá trị của việc sử dụng Node.js trong một môi trường ứng dụng mạng hiệu suất cao, và một số nhà phát triển đã chuyển sang ngôn ngữ Go. Ngoài ra cũng có một số tập đoàn lớn chuyển sang sử dụng Go, ngoài tác giả của ngôn ngữ này là Google. Dropbox đã chuyển sang Go, họ tuyên bố rằng hiệu suất tăng lên đáng kể, và các nhà phát triển của hệ thống ảo hóa Docker cũng đang sử dụng Go. Tuy nhiên, điều quan trọng cần lưu ý là Node.js vẫn đang được sử dụng rộng rãi hơn nhiều, có nhiều module hơn, dễ dàng sử dụng hơn, và nó sẽ chẳng đi đâu cả trong thời gian sắp tới. Ngoài ra, nếu bạn đang làm một ứng dụng web, Node.js có thể là ngôn ngữ mà bạn lựa chọn, còn Go hiện tại được sử dụng nhiều như là một ngôn ngữ kịch bản tập trung ưu tiên vào ứng dụng đồng thời (concurrency) và tốc độ. Trong bài viết này, chúng ta sẽ có một cái nhìn vào sự khác biệt giữa Node.js và Go từ góc nhìn của nhà phát triển để phát hiện ra những điểm mạnh và điểm yếu của từng môi ...
Read more

Node.js Tutorial: Phần 7 - Sử dụng EJS làm Template Engine trong Express

Image
Tạo một project Express với express-generator Cách nhanh nhất để tạo một project ExpressJS là sử dụng express-generator. Để cài đặt Express generator, bạn ở Command line/Terminal, gõ vào lệnh sau:  npm install -g express-generator Nếu dùng Linux bạn cần thêm từ khoá "sudo" ở đầu dòng lệnh trên, với tham số "-g" có nghĩa là "global". Sau khi cài xong bạn cần cd đến folder muốn tạo project và khởi tạo project bằng lệnh:  express Cài đặt những NodeJS module cần thiết cho project:  npm install Đây là cấu trúc thư mục sau khi cài đặt: Sử dụng lệnh sau để run project:  node ./bin/www Truy cập vào project tại địa chỉ:  http://localhost:3000 Tích hợp template engine EJS Cài đặt ejs:  npm install ejs --save Ở bước trên khi khởi tạo project ExpressJS bằng express-generator nó đã tự động cài đặt và sử dụng jade template engine cho ứng dung, nên bây giờ để cấu hình sử dụng ejs làm templte engine bạn mở file app.js lên và sửa  app.set('view eng...
Read more