使用 JWT 和 Logto 保護你的 Express.js API
學習如何使用 JSON Web Tokens (JWT) 和 Logto 保護你的 Express.js API 端點。
Founder
介紹
當你開發一個網頁應用程式時,保護你的 API 端點不被未授權訪問是非常重要的。想像一下你正在建立一個在線購物網站;你絕對不希望網絡竊賊利用你的 API。
假設你已經建立了一個具備用戶認證的 Express.js 應用程式,要求用戶在執行某些操作之前先登錄。如果沒有,你可以使用 Logto 開始你的旅程。只需幾行代碼即可建立用戶認證流程。
然而,即使在用戶認證之後,你仍面臨著各種選擇來保護你的 API 端點。不幸的是,大多數選擇都有其缺點:
- 基於會話的認證:將你的 API 綁定到會話存儲,這不具可擴展性並且不適合微服務。
- 調用認證服務:這會增加額外的網絡調用,增大延遲和成本。一些認證服務甚至根據 API 調用量收費,可能導致高額費用。
在本教程中,我們將演示如何使用 JSON Web Tokens (JWT) 和 Logto 來強化你的 API 端點。這種方法提供了可擴展性和最小的額外成本。
先決條件
在繼續之前,請確保你擁有以下內容:
- 一個 Logto 帳戶。如果你還沒有,你可以免費註冊。
- 一個需要 API 保護的 Express.js 專案和一個消費 API 的客戶端應用程式。
- 基本熟悉 JSON Web Token (JWT)。
在 Logto 中定義你的 API 資源
Logto 完全利用 RFC 8707: OAuth 2.0 資源指示器 來保護你的 API 端點。這意味著你可以使用它們的實際 URL 定義你的 API 資源。
導航到 Logto 控制台中的「API 資源」標籤並點擊「創建 API 資源」來創建一個新的。例如,如果你想保護 /api/products 端點,你可以使用 URL https://yourdomain.com/api/products 作為標識符。
在你的客戶端應用程式中獲取訪問令牌
接下來,你需要將 Logto SDK 集成到你的客戶端應用程式中。此應用程式可能與你的 Express.js 後端不同;例如,你可能有一個使用 Express.js 作為後端 API 服務器的 React 應用程式。
你還需要調整 Logto SDK 配置,告知 Logto 你希望在此獲取訪問令牌。以下是一個使用 React 的例子:
一旦用戶使用 Logto 登錄,Logto SDK 中的 isAuthenticated 會變為 true:
現在,你可以使用 getAccessToken 方法檢索你的 API 訪問令牌:
最後,將此訪問令牌包含在發送到你的 API 的 Authorization 頭部中:
在你的 API 中驗證訪問令牌
在你的 Express.js 應用程式中,安裝 jose 庫以進行 JWT 驗證:
由於我們使用 Bearer 認證,從 Authorization 頭部中提取訪問令牌:
隨後,創建一個中間件來驗證訪問令牌:
現在你可以使用這個中間件來保護你的 API 端點:
通過這種方法,你不需要每次請求到達時都聯繫 Logto 服務器。相反,你從 Logto 服務器获取 JSON Web Key Set (JWKS) 一次,隨後本地驗證訪問令牌。
基於角色的訪問控制
到目前為止,我們只是驗證用戶已使用 Logto 登錄。我們仍然不知道該用戶是否擁有訪問 API 端點的適當權限。這是因為 Logto 允許任何人為現有 API 資源獲得訪問令牌。
為了解決此問題,我們可以使用基於角色的訪問控制 (RBAC)。在 Logto 中,你可以定義角色並為其分配權限。查閱本教程以學習如何在 Logto 中定義角色和權限。
定義��角色和權限後,你可以在 LogtoProvider 組件中添加 scopes 選項:
然後 Logto 僅會向用戶發放具有適當作用域的訪問令牌。例如,如果用戶只有 read:products 作用域,訪問令牌將僅包含該作用域:
如果用戶同時具有 read:products 和 write:products 作用域,訪問令牌將包含以空格為分隔符的兩個作用域:
在你的 Express.js 應用程式中,你可以在授予 API 端點訪問權限之前驗證訪問令牌是否包含正確的作用域:
結論
保護 API 端點同時確保可擴展性不是件容易的事。在 Logto,我們努力為開發人員簡化請求認證,讓你能夠更專注於商業邏輯。
如有任何問題,請隨時加入我們的 Discord 服務器。我們的社群隨時樂意幫助你。