如何用Node.js实现一个支持OAuth2的授权服务器？

betcha

发布时间：2025-10-05 08:50:03

952人浏览过

来源于php中文网

原创

首先实现授权码流程，通过OAuth2orize处理授权请求与令牌发放，结合Passport进行用户认证；接着配置客户端认证与会话管理，最后提供登录及授权确认页面，完成标准OAuth2授权码流程。

如何用node.js实现一个支持oauth2的授权服务器？

实现一个支持 OAuth2 的授权服务器，核心是处理授权码流程、令牌发放、客户端认证和用户身份验证。Node.js 结合 OAuth2orize 和 Passport 是常见选择。下面是一个基础但完整的实现思路和代码示例。

1. 初始化项目并安装依赖

创建项目目录并安装必要模块：

npm init -y
npm install express oauth2orize passport passport-local bcrypt body-parser cookie-session

这些库的作用：

express：构建 Web 服务
oauth2orize：实现 OAuth2 授权服务器逻辑
passport + passport-local：处理用户登录认证
body-parser：解析请求体
cookie-session：管理会话（用于登录状态）
bcrypt：密码加密

2. 配置 OAuth2orize 授权服务器

创建 server.js，初始化 Express 和 OAuth2orize：

const express = require('express');
const oauth2orize = require('oauth2orize');
const bodyParser = require('body-parser');
const session = require('cookie-session');
const passport = require('passport');
const LocalStrategy = require('passport-local').Strategy;
const bcrypt = require('bcrypt');

const app = express();
const server = oauth2orize.createServer();

// 中间件
app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());
app.use(session({ secret: 'your-session-secret', maxAge: 3600000 }));
app.use(passport.initialize());
app.use(passport.session());

// 模拟数据存储（生产环境应使用数据库）
const clients = [
  { id: 'client_id_123', secret: 'client_secret_456', redirectUri: 'http://localhost:3000/callback' }
];

const tokens = [];
const codes = [];
const users = [{ id: 1, username: 'user', password: '$2b$10$...' }]; // 密码哈希

// Passport 用户本地认证
passport.use(new LocalStrategy((username, password, done) => {
  const user = users.find(u => u.username === username);
  if (user && bcrypt.compareSync(password, user.password)) {
    return done(null, user);
  }
  return done(null, false);
}));

passport.serializeUser((user, done) => done(null, user.id));
passport.deserializeUser((id, done) => {
  const user = users.find(u => u.id === id);
  done(null, user);
});

3. 实现 OAuth2 授权端点

配置授权码（authorization code）流程：

mallcloud商城

mallcloud商城基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离vue的企业级微服务敏捷开发系统架构。并引入组件化的思想实现高内聚低耦合，项目代码简洁注释丰富上手容易，适合学习和企业中使用。真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案，面向互联网设计同时适合B端和C端用户，支持CI/CD多环境部署，并提

下载

// 生成授权码
server.grant(oauth2orize.grant.code((client, redirectUri, user, ares, done) => {
  const code = Math.random().toString(36).substr(2, 8);
  codes.push({
    value: code,
    clientId: client.id,
    redirectUri: redirectUri,
    userId: user.id
  });
  done(null, code);
}));

// 交换令牌
server.exchange(oauth2orize.exchange.code((client, code, redirectUri, done) => {
  const authCode = codes.find(c => c.value === code);
  if (!authCode) return done(null, false);

  if (client.id !== authCode.clientId) return done(null, false);
  if (redirectUri !== authCode.redirectUri) return done(null, false);

  const token = Math.random().toString(36).substr(2, 24);
  tokens.push({
    value: token,
    userId: authCode.userId,
    clientId: client.id
  });

  done(null, token);
}));

// 授权中间件：检查客户端合法性
function authenticateClient(req, res, next) {
  const clientId = req.body.client_id || req.query.client_id;
  const clientSecret = req.body.client_secret;
  const client = clients.find(c => c.id === clientId && c.secret === clientSecret);
  if (!client) return res.status(401).json({ error: 'Invalid client' });
  req.oauth2 = { client };
  next();
}

// GET /authorize - 用户确认授权页面
app.get('/authorize', server.authorize((clientId, redirectUri, done) => {
  const client = clients.find(c => c.id === clientId);
  if (!client) return done(new Error('Unknown client'));
  if (client.redirectUri !== redirectUri) return done(new Error('Invalid redirect URI'));
  return done(null, client, redirectUri);
}), (req, res) => {
  res.render('dialog', { transactionID: req.oauth2.transactionID, user: req.user, client: req.oauth2.client });
});

// POST /authorize/decision - 处理用户同意/拒绝
app.post('/authorize/decision', server.decision());

// POST /token - 获取访问令牌
app.post('/token', authenticateClient, server.token(), server.errorHandler());

4. 用户登录与授权确认页面

添加简单视图（可用模板引擎如 EJS 或直接返回 HTML）：

app.get('/login', (req, res) => {
  res.send(`
    
      

      

      
    
  `);
});

app.post('/login', passport.authenticate('local', { failureRedirect: '/login' }), (req, res) => {
  // 登录成功后重定向到授权确认页
  res.redirect('/authorize?client_id=' + req.query.client_id + '&response_type=code&redirect_uri=' + encodeURIComponent(req.query.redirect_uri));
});

5. 启动服务器

```javascript app.listen(3000, () => { console.log('OAuth2 授权服务器运行在 http://localhost:3000'); }); ```

基本上就这些。这个例子实现了标准的授权码流程：

客户端跳转到 /authorize 请求授权
用户登录并确认授权
服务器返回授权码
客户端用授权码请求 /token 换取访问令牌

注意：这只是一个教学示例。生产环境需要加入更多安全措施，比如 HTTPS、CSRF 防护、刷新令牌、令牌过期、数据库持久化、PKCE 扩展等。

javascript的Canvas是什么_怎样用它绘制图形和动画？

什么是javascript的柯里化函数_柯里化如何实现参数复用

什么是javascript反射_Reflect对象如何操作对象属性

什么是JavaScript中的正则表达式_如何用它进行模式匹配？

什么是JavaScript的默认参数_它如何初始化函数参数

相关专题

js获取数组长度的方法

在js中，可以利用array对象的length属性来获取数组长度，该属性可设置或返回数组中元素的数目，只需要使用“array.length”语句即可返回表示数组对象的元素个数的数值，也就是长度值。php中文网还提供JavaScript数组的相关下载、相关课程等内容，供大家免费下载使用。

538

2023.06.20

js刷新当前页面

js刷新当前页面的方法：1、reload方法，该方法强迫浏览器刷新当前页面，语法为“location.reload([bForceGet]) ”；2、replace方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，不能通过“前进”和“后退”来访问已经被替换的URL，语法为“location.replace(URL) ”。php中文网为大家带来了js刷新当前页面的相关知识、以及相关文章等内容

372

2023.07.04

js四舍五入

js四舍五入的方法：1、tofixed方法，可把 Number 四舍五入为指定小数位数的数字；2、round() 方法，可把一个数字舍入为最接近的整数。php中文网为大家带来了js四舍五入的相关知识、以及相关文章等内容

727

2023.07.04

js删除节点的方法

js删除节点的方法有：1、removeChild()方法，用于从父节点中移除指定的子节点，它需要两个参数，第一个参数是要删除的子节点，第二个参数是父节点；2、parentNode.removeChild()方法，可以直接通过父节点调用来删除子节点；3、remove()方法，可以直接删除节点，而无需指定父节点；4、innerHTML属性，用于删除节点的内容。

470

2023.09.01

JavaScript转义字符

JavaScript中的转义字符是反斜杠和引号，可以在字符串中表示特殊字符或改变字符的含义。本专题为大家提供转义字符相关的文章、下载、课程内容，供大家免费下载体验。

389

2023.09.04

js生成随机数的方法

js生成随机数的方法有：1、使用random函数生成0-1之间的随机数；2、使用random函数和特定范围来生成随机整数；3、使用random函数和round函数生成0-99之间的随机整数；4、使用random函数和其他函数生成更复杂的随机数；5、使用random函数和其他函数生成范围内的随机小数；6、使用random函数和其他函数生成范围内的随机整数或小数。

989

2023.09.04

如何启用JavaScript

JavaScript启用方法有内联脚本、内部脚本、外部脚本和异步加载。详细介绍：1、内联脚本是将JavaScript代码直接嵌入到HTML标签中；2、内部脚本是将JavaScript代码放置在HTML文件的`<script>`标签中；3、外部脚本是将JavaScript代码放置在一个独立的文件；4、外部脚本是将JavaScript代码放置在一个独立的文件。

652

2023.09.12

Js中Symbol类详解

javascript中的Symbol数据类型是一种基本数据类型，用于表示独一无二的值。Symbol的特点：1、独一无二，每个Symbol值都是唯一的，不会与其他任何值相等；2、不可变性，Symbol值一旦创建，就不能修改或者重新赋值；3、隐藏性，Symbol值不会被隐式转换为其他类型；4、无法枚举，Symbol值作为对象的属性名时，默认是不可枚举的。

537

2023.09.20