微信公众号 讲师中心
首页
文章
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 JavaScript 后端开发 数据库 移动端 运维开发 UI设计 计算机基础 XML Web Services
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程
游戏教程 自媒体 新闻
首页 > web前端 > js教程 > 正文

如何用Node.js实现一个支持OAuth2的授权服务器?

betcha
发布: 2025-10-05 08:50:03
原创
931人浏览过
首先实现授权码流程,通过OAuth2orize处理授权请求与令牌发放,结合Passport进行用户认证;接着配置客户端认证与会话管理,最后提供登录及授权确认页面,完成标准OAuth2授权码流程。

如何用node.js实现一个支持oauth2的授权服务器?

实现一个支持 OAuth2 的授权服务器,核心是处理授权码流程、令牌发放、客户端认证和用户身份验证。Node.js 结合 OAuth2orizePassport 是常见选择。下面是一个基础但完整的实现思路和代码示例。

1. 初始化项目并安装依赖

创建项目目录并安装必要模块:

npm init -y
npm install express oauth2orize passport passport-local bcrypt body-parser cookie-session

这些库的作用:

  • express:构建 Web 服务
  • oauth2orize:实现 OAuth2 授权服务器逻辑
  • passport + passport-local:处理用户登录认证
  • body-parser:解析请求体
  • cookie-session:管理会话(用于登录状态)
  • bcrypt:密码加密

2. 配置 OAuth2orize 授权服务器

创建 server.js,初始化 Express 和 OAuth2orize:

const express = require('express');
const oauth2orize = require('oauth2orize');
const bodyParser = require('body-parser');
const session = require('cookie-session');
const passport = require('passport');
const LocalStrategy = require('passport-local').Strategy;
const bcrypt = require('bcrypt');

const app = express();
const server = oauth2orize.createServer();

// 中间件
app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());
app.use(session({ secret: 'your-session-secret', maxAge: 3600000 }));
app.use(passport.initialize());
app.use(passport.session());

// 模拟数据存储(生产环境应使用数据库)
const clients = [
  { id: 'client_id_123', secret: 'client_secret_456', redirectUri: 'http://localhost:3000/callback' }
];

const tokens = [];
const codes = [];
const users = [{ id: 1, username: 'user', password: '$2b$10$...' }]; // 密码哈希

// Passport 用户本地认证
passport.use(new LocalStrategy((username, password, done) => {
  const user = users.find(u => u.username === username);
  if (user && bcrypt.compareSync(password, user.password)) {
    return done(null, user);
  }
  return done(null, false);
}));

passport.serializeUser((user, done) => done(null, user.id));
passport.deserializeUser((id, done) => {
  const user = users.find(u => u.id === id);
  done(null, user);
});
登录后复制

3. 实现 OAuth2 授权端点

配置授权码(authorization code)流程:

如知AI笔记
如知AI笔记

如知笔记——支持markdown的在线笔记,支持ai智能写作、AI搜索,支持DeepseekR1满血大模型

如知AI笔记27
查看详情 如知AI笔记 
// 生成授权码
server.grant(oauth2orize.grant.code((client, redirectUri, user, ares, done) => {
  const code = Math.random().toString(36).substr(2, 8);
  codes.push({
    value: code,
    clientId: client.id,
    redirectUri: redirectUri,
    userId: user.id
  });
  done(null, code);
}));

// 交换令牌
server.exchange(oauth2orize.exchange.code((client, code, redirectUri, done) => {
  const authCode = codes.find(c => c.value === code);
  if (!authCode) return done(null, false);

  if (client.id !== authCode.clientId) return done(null, false);
  if (redirectUri !== authCode.redirectUri) return done(null, false);

  const token = Math.random().toString(36).substr(2, 24);
  tokens.push({
    value: token,
    userId: authCode.userId,
    clientId: client.id
  });

  done(null, token);
}));

// 授权中间件:检查客户端合法性
function authenticateClient(req, res, next) {
  const clientId = req.body.client_id || req.query.client_id;
  const clientSecret = req.body.client_secret;
  const client = clients.find(c => c.id === clientId && c.secret === clientSecret);
  if (!client) return res.status(401).json({ error: 'Invalid client' });
  req.oauth2 = { client };
  next();
}

// GET /authorize - 用户确认授权页面
app.get('/authorize', server.authorize((clientId, redirectUri, done) => {
  const client = clients.find(c => c.id === clientId);
  if (!client) return done(new Error('Unknown client'));
  if (client.redirectUri !== redirectUri) return done(new Error('Invalid redirect URI'));
  return done(null, client, redirectUri);
}), (req, res) => {
  res.render('dialog', { transactionID: req.oauth2.transactionID, user: req.user, client: req.oauth2.client });
});

// POST /authorize/decision - 处理用户同意/拒绝
app.post('/authorize/decision', server.decision());

// POST /token - 获取访问令牌
app.post('/token', authenticateClient, server.token(), server.errorHandler());
登录后复制

4. 用户登录与授权确认页面

添加简单视图(可用模板引擎如 EJS 或直接返回 HTML):

app.get('/login', (req, res) => {
  res.send(`
    <form action="/login" method="post">
      <input type="text" name="username" placeholder="用户名" /><br>
      <input type="password" name="password" placeholder="密码" /><br>
      <button type="submit">登录</button>
    </form>
  `);
});

app.post('/login', passport.authenticate('local', { failureRedirect: '/login' }), (req, res) => {
  // 登录成功后重定向到授权确认页
  res.redirect('/authorize?client_id=' + req.query.client_id + '&response_type=code&redirect_uri=' + encodeURIComponent(req.query.redirect_uri));
});
登录后复制

5. 启动服务器

```javascript app.listen(3000, () => { console.log('OAuth2 授权服务器运行在 http://localhost:3000'); }); ```

基本上就这些。这个例子实现了标准的授权码流程:

  • 客户端跳转到 /authorize 请求授权
  • 用户登录并确认授权
  • 服务器返回授权码
  • 客户端用授权码请求 /token 换取访问令牌

注意:这只是一个教学示例。生产环境需要加入更多安全措施,比如 HTTPS、CSRF 防护、刷新令牌、令牌过期、数据库持久化、PKCE 扩展等。

以上就是如何用Node.js实现一个支持OAuth2的授权服务器?的详细内容,更多请关注php中文网其它相关文章!

相关标签:
javascript word java html js node.js json node cookie app JavaScript html npm csrf express Cookie Session Token JS console 数据库 http https

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:优化React Idle Timer:在视频播放时保持用户活跃状态 下一篇:Flowbite JS配置疑难解答:解决组件不生效问题
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
JS实现一个完整的单页应用(SPA)_javascript实战 答案:用原生JavaScript可实现SPA,核心包括路由管理、视图切换、数据绑定和组件化。通过HistoryAPI监听URL变化,定义路由表routes,匹配路径并渲染对应内容;利用popstate事件处理浏览器前进后退;拦截a标签点击事件,调用preventDefault()阻止默认跳转,使用pushState更新URL并触发navigate函数渲染新视图;将页面封装为返回HTML字符串的组件函数,提升可维护性;通过全局store对象实现简易状态管理,支持跨页面数据共享,并借助自定义事件“s
2025-11-01 10:04:02
375
JavaScript字符串高级截取:利用slice()方法实现灵活的负索引操作 JavaScript中,当需要从字符串末尾截取子串而无需显式计算长度时,String.prototype.slice()方法提供了优雅的解决方案。通过利用其负索引参数,开发者可以避免临时变量或重复表达式,实现类似C#Range操作符的简洁代码,从而提高代码可读性和效率。
2025-11-01 10:00:29
665
Node.js与Express应用中的数据缓存与内存管理实践 本文深入探讨了在Node.js和Express应用中,如何高效地利用内存缓存来降低数据库负载并优化API响应速度。文章分析了直接在请求处理中或全局作用域使用setInterval进行数据缓存可能导致的内存管理问题,并提出了一种结构化、模块化的缓存实现方案。通过示例代码,演示了如何将数据获取与缓存逻辑解耦,确保内存效率和应用稳定性,并介绍了监控MongoDB内存使用的方法。
2025-11-01 09:57:01
192
JavaScript Promise 链:如何处理连续的异步操作 Promise链是通过.then()方法串联多个异步操作,确保依次执行并传递结果,例如fetch用户数据后请求其文章,每步返回值或Promise供下一步使用,错误由末尾.catch()统一捕获,需避免断链陷阱如忘记returnPromise。
2025-11-01 09:52:02
475
React保护路由:处理异步认证状态的渲染挑战 在React保护路由中,由于异步认证检查在组件首次渲染后才完成,可能导致组件在未认证状态下提前渲染并重定向。本文介绍如何通过引入一个明确的“加载中”状态来解决这一问题,确保组件在认证状态明确后再进行渲染,从而避免不必要的重定向。
2025-11-01 09:48:15
324
JavaScript Web组件与自定义元素 自定义元素是Web组件的核心,通过JavaScript的customElements.define()方法可创建独立或扩展原生元素的组件,结合ShadowDOM实现样式与结构隔离,利用observedAttributes和attributeChangedCallback响应属性变化,从而构建高内聚、低耦合、不依赖框架的可复用Web组件。
2025-11-01 09:48:01
239
jQuery中如何使用add()方法添加元素 add()方法用于将新元素添加到当前匹配集合中并返回新对象,例如$(‘p’).add(‘span’)可同时操作p和span元素;支持选择器、DOM元素或jQuery对象作为参数,如$(‘p’).add(document.getElementById(‘myDiv’))或$(‘p’).add($(‘a’));该方法不修改原始集合,元素按文档顺序排列且不重复添加,适用于需对多个无关元素统一操作的场景。
2025-11-01 09:35:02
980
JavaScript中的异步编程与事件循环深度解析 JavaScript通过事件循环实现异步非阻塞,核心为回调、Promise与async/await;执行时先同步代码,再微任务(如Promise),最后宏任务(如setTimeout),输出顺序体现调用栈与任务队列优先级。
2025-11-01 09:31:34
232
使用JavaScript进行数据可视化(D3.js基础)_javascript数据可视化 D3.js通过绑定数据到DOM元素实现网页数据可视化。首先引入库文件,使用d3.select()选择元素并绑定数据,结合.enter()生成对应元素;接着创建SVG容器绘制图形,如矩形柱状图;再利用d3.scaleLinear()定义比例尺将数据映射为像素坐标,并用d3.axisBottom()添加坐标轴,完成基础图表绘制。
2025-11-01 09:29:02
409
理解JavaScript中的按值传递与引用传递_javascript核心 JavaScript参数传递始终按值传递:基本类型传值副本,函数内修改不影响原变量;对象类型传引用的值,可修改对象属性但无法改变原变量指向。
2025-11-01 09:25:02
929
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部