使用 JWT 和 Logto 保護你的 Express.js API
學習如何使用 JSON Web Tokens (JWT) 和 Logto 來保護你的 Express.js API 端點。
Founder
簡介
在開發 Web 應用程式時,保護你的 API 端點以防止未經授權的訪問是至關重要的。想像一下你正在建立一個線上購物網站,你一定不希望網絡小偷利用你的 API。
假設你已經建立了一個具有使用者身份驗證的 Express.js 應用程式,使用者必須登入後才能執行某些操作。如果沒有,你可以使用 Logto 開始你的旅程。只需幾行程式碼即可建立使用者身份驗證流程。
然而,即使在使用者身份驗證後,你仍面臨各種選擇來保護你的 API 端點。不幸的是,大多數這些選項都有其缺點:
- 基於會話的驗證:將你的 API 連接到會話存儲,這不具可擴展性,也不適合微服務。
- 調用身份驗證服務:這會增加一個額外的網絡呼叫,從而增加延遲和成本。一些身份驗證服務甚至根據 API 呼叫量收費,可能導致高額費用。
在這個教學中,我們將演示如何使用 JSON Web Tokens (JWT) 和 Logto 來強化你的 API 端點。這種方法提供了可擴展性和最低的額外成本。
前提條件
在深入之前,請確保你擁有以下內容:
- 一個 Logto 帳戶。如果你沒有,可以免費註冊。
- 一個需要 API 保護的 Express.js 專案和一個使用該 API 的客戶應用程式。
- 對 JSON Web Token (JWT) 的基本認識。
在 Logto 中定義你的 API 資源
Logto 充分利用了 RFC 8707: OAuth 2.0 的資源指示器 來保護你的 API 端點。這意味著你可以使用實際 URL 定義你的 API 資源。
導航到 Logto 控制台的 "API 資源" 標籤並點擊 "創建 API 資源" 來創建一個新資源。例如,如果你想保護 /api/products 端點,可以使用 URL https://yourdomain.com/api/products 作為標識符。
在你的客戶應用程式中獲取訪問令牌
要繼續下去,你需要將 Logto SDK 整合到你的客戶應用程式中。這個應用程式可能與你的 Express.js 後端不同;例如,你可能有一個 React 應用程式使用 Express.js 作為後端 API 伺服器。
你還需要調整 Logto SDK 配置,通知 Logto 你想在這個授權流程中請求 API 的訪問令牌。以下是一個使用 React 的範例:
一旦使用者透過 Logto 登入,Logto SDK 中的 isAuthenticated 會變為 true:
現在,你可以使用 getAccessToken 方法為你的 API 獲取訪問令牌:
最後,在向你的 API 發出的請求中使用 Authorization 標頭包含這個訪問令牌:
在你的 API 中驗證訪問令牌
在你的 Express.js 應用程式中,安裝 jose 庫以進行 JWT 驗證:
由於我們使用的是 Bearer 驗證,從 Authorization 標頭中提取訪問令牌:
接著,創建一個中介軟體來驗證訪問令牌:
你現在可以使用這個中介軟體來保護你的 API 端點:
通過這種方法,你不需要在每次請求到達時聯繫 Logto 伺服器。相反,你只需從 Logto 伺服器中獲取一次 JSON Web Key Set (JWKS),然後在本地驗證訪問令牌。
基於角色的訪問控制
到目前為止,我們只檢查了用戶是否通過 Logto 登入。我們仍然不知道使用者是否具有適當的權限來訪問 API 端點。這是因為 Logto 允許任何人為現有 API 資源獲取訪問令牌。
為了解決這個問題,我們可以使用基於角色的訪問控制 (RBAC)。在 Logto 中,你可以定義角色並為其分配權限。參考這篇教學來學習如何在 Logto 中定義角色和權限。
定義角色和權限後,你可以將 scopes 選項添加到 LogtoProvider 元件:
然後,Logto 只會向用戶發放具有適當範圍的訪問令牌。例如,如果用戶只有 read:products 範圍,訪問令牌只會包含該範圍:
如果用戶同時具有 read:products 和 write:products 範圍,訪問令牌將包含用空格分隔的兩個範圍:
在你的 Express.js 應用程式中,你可以在授予對 API 端點的訪問權限之前,驗證訪問令牌是否包含正確的範圍:
結論
在確保可擴展性的同時保護 API 端點並不是一件簡單的事情。Logto 致力於簡化開發人員的請求身份驗證,使你能更專注於商業邏輯。
如有任何問題,歡迎加入我們的 Discord 伺服器。我們的社群隨時樂意為你提供幫助。