基于角色的JWT授权

Question

基于角色的JWT授权

13

我正在尝试使用JSON Web Tokens验证Node.js API。我可以生成令牌来验证用户。现在，我需要根据用户角色保护我的API。

下面是如何路由中间件进行身份验证和检查令牌。

var app = express();

var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {

    var token = req.body.token || req.param('token') || req.headers['x-access-token'];

    if (token) {
        jwt.verify(token, app.get('superSecret'), function (err, decoded) {
            if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
            } else {
                req.decoded = decoded;
                next();
            }
        });

    } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
    }
});

apiRoutes.get('/check', function (req, res) {
    //...
});

app.use('/api', apiRoutes);

这样，我保护API说/api/check。这只能被管理员用户访问。现在我有另一个超级用户可以访问/api/validate，而管理员用户不能访问。我如何只为超级用户保护/api/validate。我需要编写另一个中间件来实现这个吗？

这是我现在进行管理员检查的方法：

apiRoutes.post('/delete/:id',requireAdmin, function (req, res) {
//do the rest
};

function requireAdmin(req, res, next) {
    var currentUserRole=".."; //get current user role
    if('admin' == currentUserRole )
     {
         next();
     }
     else{
          next(new Error("Permission denied."));
    return;
     }  
};

同样的，requireSuperUser 函数用于超级用户检查。这是验证管理员/超级用户的正确方法吗？

- Nidheesh

2个回答

3

添加了requireAdmin函数，并通过解码负载来检查角色是否为管理员。

api.post('/create',requireAdmin, function (req, res) {
   //.....
}

function requireAdmin(request, response, next) {
    if (request.decoded.role != 'admin') {
        response.json({message: 'Permission denied.' });
    }
    else {
        next();
    }
};

- Nidheesh

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Nico Van Belle · Accepted Answer

创建JWT时，您可以提供自己的有效负载作为私有声明。例如：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "superUser": false
}

同样的方式，您可以列出已登录用户的一组用户角色。

{
  "sub": "1234567890",
  "name": "John Doe",
  "roles": [
    "ADMIN",
    "SUPERUSER"
  ]
}

所需的是解码该令牌（最好使用express.js中间件进行此身份验证/授权目的），并检查角色，如果不允许则抛出HTTP 401。当允许时，请调用next();继续并进入相应的路由。

以下是可能的中间件函数的小例子：

function canAccess(req, res, next) {
  checkAuthorization(req, function (err, authorized) {
      if (err || !authorized) {
          res.send({message: 'Unauthorized', status: 401});
      }

      next();
  });

  function checkAuthorization(req, callback) {
      // jwt decode and actual authentication admin/superuser matching goes here..
  }
}

router.use(canAccess);

了解有关JWT声明的更多信息：https://jwt.io/introduction

了解有关expressjs中间件的更多信息：https://expressjs.com/en/guide/using-middleware.html