认证
认证是大多数应用程序的核心部分。有许多不同的方法和策略来处理认证。任何项目所采用的方法取决于其特定的应用需求。本章介绍了几种可以适应各种不同需求的认证方法。
让我们明确我们的需求。对于此用例,客户端将首先使用用户名和密码进行认证。一旦认证通过,服务器将签发一个 JWT,该 JWT 可以作为 bearer token 在后续请求的授权头中发送以证明身份。我们还将创建一个受保护的路由,只有包含有效 JWT 的请求才能访问。
我们将从第一个需求开始:认证用户。然后通过签发 JWT 来扩展它。最后,我们将创建一个受保护的路由来检查请求中的有效 JWT。
创建认证模块
我们首先生成一个 AuthModule,以及其中的 AuthService 和 AuthController。我们将使用 AuthService 来实现认证逻辑,使用 AuthController 来暴露认证端点。
$ nest g module auth
$ nest g controller auth
$ nest g service auth在实现 AuthService 的过程中,我们会发现将用户操作封装在 UsersService 中很有用,所以现在就生成该模块和服务:
$ nest g module users
$ nest g service users替换这些生成文件的默认内容,如下所示。对于我们的示例应用,UsersService 只是维护一个硬编码的内存用户列表,以及一个通过用户名查找用户的方法。在真实的应用中,这里是你构建用户模型和持久层的地方,使用你选择的库(例如 TypeORM、Sequelize、Mongoose 等)。
// users/users.service.ts
import { Injectable } from '@nestjs/common';
// 这应该是一个表示用户实体的真实类/接口
export type User = any;
@Injectable()
export class UsersService {
private readonly users = [
{
userId: 1,
username: 'john',
password: 'changeme',
},
{
userId: 2,
username: 'maria',
password: 'guess',
},
];
async findOne(username: string): Promise<User | undefined> {
return this.users.find(user => user.username === username);
}
}在 UsersModule 中,唯一需要的更改是将 UsersService 添加到 @Module 装饰器的 exports 数组中,以便它在此模块外部可见(我们很快会在 AuthService 中使用它)。
// users/users.module.ts
import { Module } from '@nestjs/common';
import { UsersService } from './users.service';
@Module({
providers: [UsersService],
exports: [UsersService],
})
export class UsersModule {}实现"登录"端点
我们的 AuthService 的工作是检索用户并验证密码。我们为此创建一个 signIn() 方法。在下面的代码中,我们使用方便的 ES6 展开运算符从用户对象中剥离 password 属性,然后再返回它。这是返回用户对象时的常见做法,因为你不想暴露密码等敏感字段。
// auth/auth.service.ts
import { Injectable, UnauthorizedException } from '@nestjs/common';
import { UsersService } from '../users/users.service';
@Injectable()
export class AuthService {
constructor(private usersService: UsersService) {}
async signIn(username: string, pass: string): Promise<any> {
const user = await this.usersService.findOne(username);
if (user?.password !== pass) {
throw new UnauthorizedException();
}
const { password, ...result } = user;
// TODO: Generate a JWT and return it here
// instead of the user object
return result;
}
}警告
当然,在真实的应用程序中,你不会以明文形式存储密码。你应该使用像 bcrypt 这样的库,采用加盐的单向哈希算法。使用这种方法,你只存储哈希后的密码,然后将存储的密码与传入密码的哈希版本进行比较,因此永远不会以明文形式存储或暴露用户密码。为了保持示例应用的简单性,我们违反了这一绝对原则并使用了明文。不要在你的真实应用中这样做!
现在,我们更新 AuthModule 以导入 UsersModule。
// auth/auth.module.ts
import { Module } from '@nestjs/common';
import { AuthService } from './auth.service';
import { AuthController } from './auth.controller';
import { UsersModule } from '../users/users.module';
@Module({
imports: [UsersModule],
providers: [AuthService],
controllers: [AuthController],
})
export class AuthModule {}完成后,让我们打开 AuthController 并向其添加一个 signIn() 方法。客户端将调用此方法来认证用户。它将在请求体中接收用户名和密码,如果用户认证通过,将返回一个 JWT 令牌。
// auth/auth.controller.ts
import { Body, Controller, Post, HttpCode, HttpStatus } from '@nestjs/common';
import { AuthService } from './auth.service';
@Controller('auth')
export class AuthController {
constructor(private authService: AuthService) {}
@HttpCode(HttpStatus.OK)
@Post('login')
signIn(@Body() signInDto: Record<string, any>) {
return this.authService.signIn(signInDto.username, signInDto.password);
}
}提示
理想情况下,我们不应使用 Record<string, any> 类型,而应该使用 DTO 类来定义请求体的形状。更多信息请参阅验证章节。
JWT 令牌
我们准备好进入认证系统的 JWT 部分了。让我们回顾和完善我们的需求:
- 允许用户使用用户名/密码认证,返回 JWT 以用于后续对受保护 API 端点的调用。我们已经很好地满足了这个需求。要完成它,我们需要编写签发 JWT 的代码。
- 创建基于有效 JWT 作为 bearer token 的存在来保护的 API 路由
我们需要安装一个额外的包来支持我们的 JWT 需求:
$ npm install --save @nestjs/jwt提示
@nestjs/jwt 包(详见这里)是一个帮助 JWT 操作的工具包。这包括生成和验证 JWT 令牌。
为了保持服务的良好模块化,我们将在 authService 中处理 JWT 的生成。打开 auth 文件夹中的 auth.service.ts 文件,注入 JwtService,并更新 signIn 方法以生成 JWT 令牌,如下所示:
// auth/auth.service.ts
import { Injectable, UnauthorizedException } from '@nestjs/common';
import { UsersService } from '../users/users.service';
import { JwtService } from '@nestjs/jwt';
@Injectable()
export class AuthService {
constructor(
private usersService: UsersService,
private jwtService: JwtService
) {}
async signIn(
username: string,
pass: string,
): Promise<{ access_token: string }> {
const user = await this.usersService.findOne(username);
if (user?.password !== pass) {
throw new UnauthorizedException();
}
const payload = { sub: user.userId, username: user.username };
return {
access_token: await this.jwtService.signAsync(payload),
};
}
}我们使用 @nestjs/jwt 库,它提供了一个 signAsync() 函数来从 user 对象属性的子集生成 JWT,然后将其作为一个带有单个 access_token 属性的简单对象返回。注意:我们选择 sub 作为属性名来保存我们的 userId 值,以符合 JWT 标准。
现在我们需要更新 AuthModule 以导入新的依赖项并配置 JwtModule。
首先,在 auth 文件夹中创建 constants.ts,并添加以下代码:
// auth/constants.ts
export const jwtConstants = {
secret: 'DO NOT USE THIS VALUE. INSTEAD, CREATE A COMPLEX SECRET AND KEEP IT SAFE OUTSIDE OF THE SOURCE CODE.',
};我们将使用它在 JWT 签名和验证步骤之间共享我们的密钥。
警告
不要公开暴露此密钥。 我们在此处这样做是为了清楚地说明代码在做什么,但在生产系统中你必须使用适当的措施保护此密钥,例如密钥保管库、环境变量或配置服务。
现在,打开 auth 文件夹中的 auth.module.ts 并将其更新为如下所示:
// auth/auth.module.ts
import { Module } from '@nestjs/common';
import { AuthService } from './auth.service';
import { UsersModule } from '../users/users.module';
import { JwtModule } from '@nestjs/jwt';
import { AuthController } from './auth.controller';
import { jwtConstants } from './constants';
@Module({
imports: [
UsersModule,
JwtModule.register({
global: true,
secret: jwtConstants.secret,
signOptions: { expiresIn: '60s' },
}),
],
providers: [AuthService],
controllers: [AuthController],
exports: [AuthService],
})
export class AuthModule {}提示
我们将 JwtModule 注册为全局模块,以使事情更简单。这意味着我们不需要在应用程序的其他任何地方导入 JwtModule。
我们使用 register() 配置 JwtModule,传入一个配置对象。更多关于 Nest JwtModule 的信息请参阅这里,关于可用配置选项的更多详情请参阅这里。
让我们继续使用 cURL 测试我们的路由。你可以使用 UsersService 中硬编码的任何 user 对象进行测试。
$ # POST to /auth/login
$ curl -X POST http://localhost:3000/auth/login -d '{"username": "john", "password": "changeme"}' -H "Content-Type: application/json"
{"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}
$ # 注意:上面的 JWT 已被截断实现认证守卫
我们现在可以解决最后一个需求:通过要求请求中包含有效的 JWT 来保护端点。我们将通过创建一个 AuthGuard 来实现这一点,然后用它来保护我们的路由。
// auth/auth.guard.ts
import {
CanActivate,
ExecutionContext,
Injectable,
UnauthorizedException,
} from '@nestjs/common';
import { JwtService } from '@nestjs/jwt';
import { Request } from 'express';
@Injectable()
export class AuthGuard implements CanActivate {
constructor(private jwtService: JwtService) {}
async canActivate(context: ExecutionContext): Promise<boolean> {
const request = context.switchToHttp().getRequest();
const token = this.extractTokenFromHeader(request);
if (!token) {
throw new UnauthorizedException();
}
try {
const payload = await this.jwtService.verifyAsync(token);
// 💡 我们在这里将 payload 分配给 request 对象
// 以便我们可以在路由处理器中访问它
request['user'] = payload;
} catch {
throw new UnauthorizedException();
}
return true;
}
private extractTokenFromHeader(request: Request): string | undefined {
const [type, token] = request.headers.authorization?.split(' ') ?? [];
return type === 'Bearer' ? token : undefined;
}
}我们现在可以实现受保护的路由,并注册 AuthGuard 来保护它。
打开 auth.controller.ts 文件并按如下所示更新它:
// auth.controller.ts
import {
Body,
Controller,
Get,
HttpCode,
HttpStatus,
Post,
Request,
UseGuards
} from '@nestjs/common';
import { AuthGuard } from './auth.guard';
import { AuthService } from './auth.service';
@Controller('auth')
export class AuthController {
constructor(private authService: AuthService) {}
@HttpCode(HttpStatus.OK)
@Post('login')
signIn(@Body() signInDto: Record<string, any>) {
return this.authService.signIn(signInDto.username, signInDto.password);
}
@UseGuards(AuthGuard)
@Get('profile')
getProfile(@Request() req) {
return req.user;
}
}我们将刚刚创建的 AuthGuard 应用到 GET /profile 路由,使其受到保护。
确保应用正在运行,并使用 cURL 测试路由。
$ # GET /profile
$ curl http://localhost:3000/auth/profile
{"statusCode":401,"message":"Unauthorized"}
$ # POST /auth/login
$ curl -X POST http://localhost:3000/auth/login -d '{"username": "john", "password": "changeme"}' -H "Content-Type: application/json"
{"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2Vybm..."}
$ # GET /profile using access_token returned from previous step as bearer code
$ curl http://localhost:3000/auth/profile -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2Vybm..."
{"sub":1,"username":"john","iat":...,"exp":...}请注意,在 AuthModule 中,我们将 JWT 配置为 60 秒的过期时间。这个过期时间太短了,处理令牌过期和刷新的细节超出了本文的范围。然而,我们选择这样做是为了展示 JWT 的一个重要特性。如果你在认证后等待 60 秒再尝试 GET /auth/profile 请求,你将收到 401 Unauthorized 响应。这是因为 @nestjs/jwt 会自动检查 JWT 的过期时间,省去了你在应用程序中自行处理的麻烦。
我们现在已经完成了 JWT 认证的实现。JavaScript 客户端(如 Angular/React/Vue)和其他 JavaScript 应用现在可以安全地与我们的 API 服务器进行认证和通信。
全局启用认证
如果你的大多数端点默认都应该受到保护,你可以将认证守卫注册为全局守卫,然后不需要在每个控制器上使用 @UseGuards() 装饰器,只需标记哪些路由应该是公开的。
首先,使用以下构造将 AuthGuard 注册为全局守卫(在任何模块中,例如在 AuthModule 中):
providers: [
{
provide: APP_GUARD,
useClass: AuthGuard,
},
],完成后,Nest 将自动将 AuthGuard 绑定到所有端点。
现在我们必须提供一种声明路由为公开的机制。为此,我们可以使用 SetMetadata 装饰器工厂函数创建一个自定义装饰器。
import { SetMetadata } from '@nestjs/common';
export const IS_PUBLIC_KEY = 'isPublic';
export const Public = () => SetMetadata(IS_PUBLIC_KEY, true);在上面的文件中,我们导出了两个常量。一个是名为 IS_PUBLIC_KEY 的元数据键,另一个是我们的新装饰器本身,我们将其命名为 Public(你也可以将其命名为 SkipAuth 或 AllowAnon,取决于你的项目)。
现在我们有了自定义的 @Public() 装饰器,可以用它来装饰任何方法,如下所示:
@Public()
@Get()
findAll() {
return [];
}最后,我们需要 AuthGuard 在找到 "isPublic" 元数据时返回 true。为此,我们将使用 Reflector 类(更多信息请参阅这里)。
@Injectable()
export class AuthGuard implements CanActivate {
constructor(private jwtService: JwtService, private reflector: Reflector) {}
async canActivate(context: ExecutionContext): Promise<boolean> {
const isPublic = this.reflector.getAllAndOverride<boolean>(IS_PUBLIC_KEY, [
context.getHandler(),
context.getClass(),
]);
if (isPublic) {
// 💡 看这个条件
return true;
}
const request = context.switchToHttp().getRequest();
const token = this.extractTokenFromHeader(request);
if (!token) {
throw new UnauthorizedException();
}
try {
const payload = await this.jwtService.verifyAsync(token);
// 💡 我们在这里将 payload 分配给 request 对象
// 以便我们可以在路由处理器中访问它
request['user'] = payload;
} catch {
throw new UnauthorizedException();
}
return true;
}
private extractTokenFromHeader(request: Request): string | undefined {
const [type, token] = request.headers.authorization?.split(' ') ?? [];
return type === 'Bearer' ? token : undefined;
}
}Passport 集成
Passport 是最流行的 node.js 认证库,为社区所熟知,并在许多生产应用中成功使用。使用 @nestjs/passport 模块可以很方便地将此库与 Nest 应用集成。
要了解如何将 Passport 与 NestJS 集成,请查看这个章节。
示例
你可以在这里找到本章代码的完整版本。