使用Knex.js通过Azure托管身份认证连接SQL数据库

在开发基于Node.js的应用程序时，我们经常需要连接Azure SQL数据库。传统方式是使用用户名和密码进行基本认证，但这种方式存在安全风险。Azure提供了更安全的托管身份认证方式，本文将详细介绍如何通过Knex.js框架使用Azure托管身份认证连接SQL数据库。

托管身份认证的优势

托管身份认证是Azure提供的一种安全机制，相比传统用户名密码认证有以下优势：

1. 无需在代码中存储敏感凭证
2. 自动轮换密钥和证书
3. 细粒度的访问控制
4. 与Azure角色分配无缝集成

配置Knex.js使用Azure AD令牌认证

要实现Knex.js通过托管身份连接Azure SQL，我们需要使用@azure/identity包获取访问令牌，然后将其传递给Knex配置。

1. 安装必要依赖

首先确保项目中安装了以下npm包：

• knex
• mssql
• @azure/identity

2. 获取Azure AD访问令牌

使用DefaultAzureCredential类可以自动检测运行环境并选择合适的认证方式：

const { DefaultAzureCredential } = require("@azure/identity");
const credential = new DefaultAzureCredential();
const tokenResponse = await credential.getToken("https://database.windows.net/");

3. 配置Knex连接

关键点在于正确配置Knex的连接对象，特别注意type和token参数必须放在连接对象的顶层：

const config = {
  client: "mssql",
  connection: {
    server: process.env.DB_SERVER,
    database: process.env.DB_NAME,
    type: "azure-active-directory-access-token", // 认证类型
    token: tokenResponse.token, // 访问令牌
    options: {
      encrypt: true // 启用加密
    }
  }
};

4. 初始化Knex并测试连接

const db = knex(config);

// 测试连接
try {
  const result = await db.raw("SELECT 1 as value");
  console.log("连接成功");
} catch (err) {
  console.error("连接失败:", err);
}

常见问题解决

在实现过程中可能会遇到以下问题：

1. 认证失败：确保Azure SQL数据库已配置允许来自托管身份的访问，并分配了正确的角色。

2. 令牌无效：检查令牌获取时指定的资源URL是否正确，必须是https://database.windows.net/。

3. 连接配置错误：确保type和token参数位于连接对象的顶层，而不是嵌套在其他对象中。

最佳实践

1. 将数据库连接配置封装为可重用的模块
2. 实现连接池管理以提高性能
3. 添加适当的错误处理和重试逻辑
4. 在生产环境中记录详细的连接日志

通过这种方式，我们可以安全、高效地在Node.js应用中使用Knex.js连接Azure SQL数据库，同时避免了在代码中存储敏感凭证的风险。