《Node.js 权限认证 Rest API 最佳实践》

1. 项目介绍

本项目是基于 Node.js、Express、Mongoose、Passport 和 JWT（JSON Web Tokens）构建的一个 Rest API 权限认证系统。它旨在为需要用户认证和授权的后端服务提供一套完整的解决方案。项目利用了现代的 Node.js 生态技术，保证了系统的安全性、可扩展性和易维护性。

2. 项目快速启动

环境准备

• Node.js (推荐使用 LTS 版本)
• npm 或 yarn 包管理工具
• MongoDB 数据库

克隆项目

git clone https://github.com/didinj/node-express-mongoose-passport-jwt-rest-api-auth.git
cd node-express-mongoose-passport-jwt-rest-api-auth

安装依赖

npm install
# 或者
yarn install

配置数据库

在项目根目录下创建一个 .env 文件，并填写你的 MongoDB 连接信息：

DB_HOST=localhost
DB_PORT=27017
DB_NAME=auth_db
DB_USER=root
DB_PASS=password

启动应用

npm start
# 或者
yarn start

项目启动后，可以通过访问 http://localhost:3000 检查 API 是否正常运行。

3. 应用案例和最佳实践

用户注册

用户注册接口需要收集用户的用户名和密码，并存储在数据库中。以下是一个简单的用户注册代码示例：

const express = require('express');
const bcrypt = require('bcryptjs');
const User = require('../models/User');

router.post('/register', async (req, res) => {
    const { username, password } = req.body;
    try {
        let user = await User.findOne({ username });
        if (user) {
            return res.status(400).json({ msg: '用户名已存在' });
        }
        user = new User({ username, password });
        const salt = await bcrypt.genSalt(10);
        user.password = await bcrypt.hash(password, salt);
        await user.save();
        res.json({ msg: '用户注册成功' });
    } catch (err) {
        console.error(err.message);
        res.status(500).send('服务器错误');
    }
});

用户登录

用户登录接口需要验证用户的用户名和密码，并返回 JWT 令牌。以下是一个简单的用户登录代码示例：

const express = require('express');
const jwt = require('jsonwebtoken');
const bcrypt = require('bcryptjs');
const User = require('../models/User');

router.post('/login', async (req, res) => {
    const { username, password } = req.body;
    try {
        let user = await User.findOne({ username });
        if (!user) {
            return res.status(400).json({ msg: '用户不存在' });
        }
        const isMatch = await bcrypt.compare(password, user.password);
        if (!isMatch) {
            return res.status(400).json({ msg: '密码错误' });
        }
        const payload = { user: { id: user.id } };
        jwt.sign(payload, process.env.JWT_SECRET, { expiresIn: 360000 }, (err, token) => {
            if (err) throw err;
            res.json({ token });
        });
    } catch (err) {
        console.error(err.message);
        res.status(500).send('服务器错误');
    }
});

JWT 认证中间件

创建一个中间件用于验证 JWT 令牌的有效性，以下是一个简单的 JWT 认证中间件示例：

const jwt = require('jsonwebtoken');

module.exports = function (req, res, next) {
    const token = req.header('Authorization');
    if (!token) {
        return res.status(401).json({ msg: '无令牌，授权失败' });
    }
    try {
        const decoded = jwt.verify(token, process.env.JWT_SECRET);
        req.user = decoded.user;
        next();
    } catch (err) {
        res.status(401).json({ msg: '令牌无效，授权失败' });
    }
};

4. 典型生态项目

• 用户认证系统：提供完整的用户注册、登录、令牌刷新等功能。
• 角色权限管理：根据用户角色分配不同权限，实现细粒度的访问控制。
• 资源保护：使用 JWT 令牌保护 API 接口，确保只有授权用户可以访问。

以上是本项目的基本介绍和快速启动指南，以及一些应用案例和最佳实践。通过这些实践，开发者可以构建出安全可靠的 Rest API 权限认证系统。